Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-10-2014 16:35:50

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

[wiki]iptables: un pare-feu pour une passerelle

Pour le retour de "iptables deuxième partie" (détail de la table NAT).

iptables: un pare-feu pour une passerelle

Merci  smile

Dernière modification par smolski (07-05-2015 06:56:17)

Hors ligne

#2 14-10-2014 23:33:33

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

Je crois que je n'ai encore jamais vu de tuto iptables aussi complet que celui-ci.
Je n'ai pas tout testé, mais j'ai tout lu (plus ou moins rapidement), et je considère ce tuto bon pour être placé smile

Merci Hypathie, c'est exceptionnel comme travail !

Je regarde l'autre tuto.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 15-10-2014 08:56:56

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

captnfab a écrit :

Merci Hypathie, c'est exceptionnel comme travail !

Oh oui, "on en a pour notre argent".  big_smile


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 15-10-2014 18:08:34

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

Coucou,

j'ai corrigé quelques erreurs de frappe dans le script final qui roule parfaitement maintenant ;  et j'ai ajouté une précision sur l'inutilité d'ajouter des règles pour DHCP.

Merci à tous de vos retours, excusez du retard, je voulais re-tester avant de répondre.... big_smile

Hors ligne

#5 15-11-2014 02:08:11

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables: un pare-feu pour une passerelle

Bonjour
j'ai installé le tuto sur une machine en Debian Jessie (sans serveur xorg)
passerelle adsl 192.168.1.1 , eth0 192.168.1.10 eth1 (cote sous réseau) 192.168.10.1
j ai un soucis avec FORWARD
ajouté pour avoir le net du sous reseau (192.168.10.0/24) ces 2 lignes
iptables -A FORWARD -i eth0 -o eth1 -m state --state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

si je met FORWARD a DROP
ces 2 lignes ci dessous ne fonctionne pas , a priori pas de dns (navigation impossible)

#permettre le passage entre les deux interfaces eternet de la passerelle
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

pour moi 192.168.1.0/24 devient 192.168.10.0/24 (voir au dessus eth1 a l ip 192.168.10.1)
sinon pour le web et ssh et le DNS et le dhcp c est correct
pour le ping j ai non permit de 192.168.1.10 vers 192.168.1.1
du pc ou je poste (192.168.10.10 en dhcp ip fixe)  le ping de la passerelle adsl est correct
d un autre pc en 192.168.10.24 (dhcp) ping passerelle ok
j ai opté pour iptables-save et lance un post-up iptables-restore sur eth0 comme le premier script passerelle que tu a fait (mode simplifié sans parefeu)
j ai rentré toutes les lignes iptables du script
ps: je precise actuellement j ai tout a DROP (input output et forward) si j enleve les 2 lignes ajouté (du tuto wiki debian) il me faut mettre forward a accept pour avoir le net.
j'ai bien regarde pour une erreur de frappe j ai tout rentré a la main ..........
super boulot

@++

mon profil debutant , j ai commence cet année , avec wheezy puis Jessie en debian , malheureusement je ne comprend pas tout ce que fais .

Dernière modification par robert2a (15-11-2014 02:30:05)

Hors ligne

#6 15-11-2014 02:52:32

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : [wiki]iptables: un pare-feu pour une passerelle

Bravo Hypathie.
C'est vraiment clair et complet...
J'aime bien le "Un petit schéma" ... smile
Vraiment impressionnant....

J'ai découvert iptables avec ce tuto : http://www.lafermeduweb.net/billet/tuto … .html#secu

Modif : ajout lien lafermeduweb...

Dernière modification par leonlemouton (15-11-2014 02:59:19)


Leonlemouton
°(")°

Hors ligne

#7 15-11-2014 10:12:24

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

Bonjour et merci à vous pour le retour smile

robert2a a écrit :


ces 2 lignes ci dessous ne fonctionne pas , a priori pas de dns (navigation impossible)

#permettre le passage entre les deux interfaces eternet de la passerelle
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT



Ton interface vers le web est eth0 d'IP 192.168.1.10 et celle vers le sous-réseau est eth1 d'IP 192.168.10.1

Essaie alors comme ceci :


iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -P FORWARD DROP

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m multiport  --dports 80,443,8000 -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -o eth1  -s 192.168.1.0/24  -d 192.168.10.0/24  -m state --state ESTABLISHED,RELATED -j ACCEPT

 



Si cela fonctionne, tu peux mettre ensuite à "DROP" INPUT et OUTPUT, et ajouter les autres règles, pour le DNS et pour le reste.

Pour le DNS par exemple les règles concernées sont sur INPUT et OUTPUT et non au niveau de FORWARD :

iptables -t filter -A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 
iptables -t filter -A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
iptables -t filter -A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 
iptables -t filter -A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT



J'essaie de t'expliquer ce que j'ai compris wink

Si tu fais "DROP" sur FORWARD (avec INPUT et OUTPUT à "ACCEPT")
en faisant seulement :


iptables -P FORWARD DROP
iptables -t filter -A FORWARD -i eth0 -o eth1 -s <IP_vers_réseau_web>  -d <IP_vers_réseau_lan> -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 



Tu n'auras pas de navigation sur ton ordi du sous-réseau car tu autorises seulement ce qui est établi, et rien ne l'ai.
Tu peux "faire parler" tes règles et tu verras qu'elles te protègent mal :

iptables -A FORWARD -i eth0 -o eth1 -m state --state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT



-> j'autorise le passage entre eth0 et eth1 pour ce qui est "RELATED,ESTABLISHED"
-> j'établie sur eth0 qui est tourné vers le web TOUT

Fais confiance à ton sous réseau et à tes règles sur INPUT sur eth0 pour établir ce qui est strictement nécessaire.

Il faut donc autorisé le web sur FORWARD (eth0), alors "ESTABLISHED,RELATED" ont rapport à quelque chose de plus sécurisé.

Tu pourrais aussi faire plus simplement :


iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT
 



Mais ce n'est pas très joli car sans suivi de connexion.

Enfin dans le pare-feu du script je ai bien mis :

#permettre le passage entre les deux interfaces eternet de la passerelle
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT



Le NEW est important.

Je vais re-tester et mettre les règles du pare-feu du script utilisables indépendamment des IP pour pouvoir s'en servir en un bloc avec la méthode iptables-save.

À tout smile

Dernière modification par Hypathie (15-11-2014 11:14:02)

Hors ligne

#8 15-11-2014 10:36:23

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables: un pare-feu pour une passerelle

Bonjour
c'est plus simple , j ai applique le tuto mais sans le script , avec iptables-save (input , output et forward sur DROP et mes regles entrées sauf quelques icmp )
comme je n avais pas internet du sous reseau (192.168.10.0) j ai mit forward a accept et la ok tout marche.
donc j ai rajoute 2 lignes (pas tres joli je suis d accord) sur forward et remit le DROP.
ce matin j ai termine les regles icmp et j ai bien mes pings du reseau B ver A (meme la passerelle ou hier ce n etait pas bon)
d une machine du reseau A pas de ping vers B (100% packet loss)
j ai lance steam d une machine cliente du reseau B avec la bonne regle port 27000 autorisé c est ok tout fonctionne
dns ,dhcp , ssh , web tout est ok.
Pour le ping de A ver B qui passe pas c est pas tres important pour l instant et j espere aucun lien avec le forward .....
mon gros soucis c est de remettre correct les regles du forward ci dessus , comme le tuto (et surtout comprendre pourquoi ça ne fonctionne pas chez moi )
@++

Dernière modification par robert2a (15-11-2014 10:46:43)

Hors ligne

#9 15-11-2014 10:56:05

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

Voilà ce sera peut-être plus simple comme cela.

Tester vite fait (web, cups, icedove)


#!/bin/sh

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P INPUT ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

##commenter / décommenter et adapter les quatre lignes suivantes pour ne pas mettre en place / mettre en place
##un proxy transparent (squid)
#/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to <ip_du-serveur>:3129
#/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129
#/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
#/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 3129 -j DROP

#accepter l'interface lo
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

#accepter le sous-réseau
/sbin/iptables -A INPUT -i eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth1 -j ACCEPT

#permettre le passage entre les deux interfaces eternet de la passerelle
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t filter -A FORWARD -p icmp -j ACCEPT

#accepter le ping entre les réseaux locaux
/sbin/iptables -t filter -A INPUT -p icmp -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t filter -A OUTPUT -p icmp -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t filter -A INPUT -p icmp -i eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t filter -A OUTPUT -p icmp -o eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 3/4 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 3/4 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 3/4 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 3/3 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 3/3 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 3/3 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 3/1 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 3/1 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 3/1 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 4 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 4 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 2/s -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j LOG --log-prefix "ICMP/in/8 Excessive: "

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP

/sbin/iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type 12 -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

/sbin/iptables -A FORWARD -p icmp --icmp-type echo-reply -j DROP

/sbin/iptables -A INPUT -p icmp -m limit -j LOG --log-prefix "ICMP/IN: "

/sbin/iptables -A OUTPUT -p icmp -m limit -j LOG --log-prefix "ICMP/OUT: "

/sbin/iptables -N syn_flood

/sbin/iptables -I INPUT -p tcp --syn -j syn_flood

/sbin/iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN

/sbin/iptables -A syn_flood -j LOG --log-prefix '[SYN_FLOOD] : '

/sbin/iptables -A syn_flood -j DROP

#autoriser la connexion avec les serveurs DNS
/sbin/iptables -t filter -A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

#autoriser la navigation web
/sbin/iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8000 -m state --state RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -A OUTPUT -o eth1 -p tcp -m multiport --dports 80,443,8000 -j ACCEPT

/sbin/iptables -A INPUT -i eth1  -p tcp -m multiport --sports 80,443,8000 -j ACCEPT

#Pour le serveur cups les deux règles suivantes à  décommenter:
#/sbin/iptables -A INPUT -i eth0 -s <ip_serveur> -d <ip_sous_réseau> -p tcp --sport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#créer une chaîne utilisateur pour les connexion ssh, les loguer et les accepter
/sbin/iptables -t filter -N InComingSSH

/sbin/iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j InComingSSH

/sbin/iptables -A InComingSSH -j LOG --log-prefix '[INCOMING_SSH] : '

/sbin/iptables -A InComingSSH -j ACCEPT

/sbin/iptables -t filter -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A OUTPUT -o eth1 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

/sbin/iptables -t filter -A INPUT -i eth1 -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

#créer une chaîne utilisateur pour les connexions ftp, et les accepter
/sbin/iptables -N ftp_in_accept

/sbin/iptables -I INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ftp_in_accept

/sbin/iptables -I INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ftp_in_accept

/sbin/iptables -I INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ftp_in_accept

/sbin/iptables -A ftp_in_accept -p tcp -j ACCEPT

/sbin/iptables -A INPUT -i eth1 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A INPUT -i eth1 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -I INPUT -i eth1 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
 



vim essai-iptables



y coller le contenu du script ci-dessus

chmod u+x essai-iptables



bash essai-iptables



Puis iptables-save et iptables-restore


robert2a a écrit :

une machine du reseau A pas de ping vers B (100% packet loss)



Tu n'as peut-être pas sauvegardé la table de routage et ton réseau A ne sait pas quelle est la route vers ton réseau B ?

smile

Hors ligne

#10 15-11-2014 10:59:38

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

@robert2a: Je me dis que, si tu veux bien, tu pourrais ouvrir un fil sur le fofo où tu y collerais :

  -un rappel de tes IP eth0 eth1
  -toutes les règles iptables que tu utilises

smile

Dernière modification par Hypathie (15-11-2014 11:05:47)

Hors ligne

#11 15-11-2014 11:05:32

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

leonlemouton a écrit :

J'ai découvert iptables avec ce tuto : http://www.lafermeduweb.net/billet/tuto … .html#secu



J'ai regardé et du coup, ça me fait penser que j'ai oublié des règles pour samba et pour apache !

Merci smile

Dernière modification par Hypathie (15-11-2014 11:16:49)

Hors ligne

#12 15-11-2014 11:39:07

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables: un pare-feu pour une passerelle

tu a ecrit dans le tuto

Au prochain redémarrage, ces commandes de routage seront à relancer.
Pour se l'éviter, il faut un script init.d (update-rc.d)
Ne le faites pas sur la passerelle, à la limite sur l'ordinateur A.  => j ai ecouté tes conseils
Sur la passerelle, le suivi de connexion pour le protocole ICMP devrait être suffisant.

donc ping de A ver B résolu , je m'en moque. (je ne l ai pas fait sur client du reseau A)

pour mon reseau je reprends ton schema avec mes ip

Petit rappel de la situation
La configuration physique :
Nous sommes derrière un box-machin ( avec routeur et serveur DHCP activé).
Le système debian-routeur (passerelle) a deux cartes ethernet
1. eth0 (IP: 192.168.1.10)
est relié à la box-machin (par un câble droit) ;
2. un ordinateur A est relié lui aussi à la box-machin son IP est 192.168.1.22
3. eth1 (IP: 192.168.10.1) est reliée à un ordinateur B2);
4. L'IP de l'ordinateur B est 192.168.10.10 (pas de parefeu)
L'ordinateur A et le système debian-routeur appartiennent au sous-réseau
192.168.1.0/255.255.255.0
L'ordinateur B appartient au sous sous-réseau : 192.168.10.0/255.255.255.0
Les services installés :
Sur l'ordinateur A (IP: 192.168.1.22), pas de pare-feu.
Sur debian-routeur(IP: 192.168.1.10), on a installé:
- aucune interface graphique lors de son installation : on le configure en passant par ssh depuis
l'ordinateur B (ou en console sur le clavier de la passerelle )
- un serveur DHCP basique qui fournit l'IP 192.168.10.10 a l'ordinateur B

pour mon iptable je vai essayer de la poster ici , mais shh est pas configure (logging user simplement , sudo ne fonctionne pas )
les journées et les nuits pas assez longues ........ pour tout faire

Dernière modification par robert2a (15-11-2014 11:41:47)

Hors ligne

#13 15-11-2014 12:13:36

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

Si tu veux bien, je t'assure que ce serait beaucoup plus efficace d'ouvrir un sujet sur le forum, ainsi on pourra être plusieurs à t'aider, et on a pour habitude quand quelque chose coince individuellement de ne pas résoudre le problème dans la rubrique du suivi des wiki, car cela risque d'entrecroiser les problèmes différents de différentes personnes. smile

J'nous ai résumé la config avec tes IP

ADSL  _____(eth0)-ROUTEUR-(eth1)__
             |              +serveur DHCP)    |
             |                                         |
        réseau A                           réseau B
    192.168.1.0/24                        192.168.10.0/24
             |                                       |
       ordi A                                  ordi B
        192.168.1.22                       192.168.10.10



Tu peux tout mettre en place sans te servir de ssh, pour dissocier les difficultés.

Bon courage

Hors ligne

#14 15-11-2014 16:47:00

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

Voilà les règles pour autoriser la plateforme de jeux STEAM ajoutées en note sous le script du pare-feu.

Et pour faire plaisir à smolski un petit lien vers le fofo wink

Merci cool

Hors ligne

#15 15-11-2014 17:08:23

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables: un pare-feu pour une passerelle

ke du bon heure big_smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#16 16-11-2014 14:47:33

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables: un pare-feu pour une passerelle

Bonjour
j'ai vu que tu a opter pour 4 lignes sur le tuto (si pas de dns configuré).
j'ai teste et répondu sur mon post , testé 2 lignes sans préciser le type (udp ou tcp ) et ça fonctionne.
Pour steam j'ai testé seulement avec 2 lignes sur eth1 coté sous réseau et ça fonctionne.
j'ai mit a jour le script sur mon dernier post de hier .  => https://debian-facile.org/viewtopic.php … 67#p102167
pour steam certain jeux récent demande d autres ports , pas de souci on rajoute le port nécessaire a autoriser . (voir wiki steam (sur leur site) sur la configuration d un parefeu pour steam il y a tous les ports utilisés)

@++

Dernière modification par robert2a (16-11-2014 14:51:21)

Hors ligne

#17 07-01-2015 19:03:56

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

captnfab a écrit :

et je considère ce tuto bon pour être placé smile


Fait smile

http://debian-facile.org/doc:reseau:ipt … passerelle


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#18 24-09-2015 17:58:13

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

Niveau avisé, j'ai supprimé la ligne débutant à savoir et mis les retours de commande en bloc file

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#19 26-09-2015 12:42:41

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables: un pare-feu pour une passerelle

merci milou smile

Hors ligne

#20 26-09-2015 13:22:34

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

smile

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#21 01-11-2015 19:22:39

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : [wiki]iptables: un pare-feu pour une passerelle

J'ai supprimé le Fixme de l'en-tête,
Liens cassés suite à la sortie de certaines pages du chantier remplacés
Un fichier passé en bloc config

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

Pied de page des forums