Bonjour,
J'ai actuellement 5 VMs : Une gateway avec 2 cartes réseaux eth0 en NAT et eth1 en réseau interne, 3 debian serveurs avec eth0 en réseau interne et 1 ubuntu client en réseau interne aussi.
Je suis censée faire passer internet via la Gateway vers mes machines. Actuellement j'arrive à ping 8.8.8.8 depuis toutes mes machines mais bizarrement quand je fais un
Je reçois des messages disant que je n'arrive pas à joindre ftp.fr.debian.org. Je ne pense pas que ça vienne de mon source.list parce que je l'ai déjà modifié en rajoutant des "main contrib non free" mais ça ne marche toujours pas. Je pense que je n'envoie pas les bonnes données via mes règles iptables. Je vous mets mon firewall :
#!/bin/bash
#constantes
IPT="/sbin/iptables"
IPTS="/sbin/iptables-save"
IPTR="/sbin/iptables-restore"
#internet
WAN_IFACE="eth0"
#local
LAN_IFACE="eth1"
#adresse Gateway
LAN_IP="192.168.31.136"
LAN_NET="192.168.88.0/24"
LAN_BCAST="192.168.88.255"
#loopback
LOOP_IFACE="lo"
LOOP_IP="127.0.0.1"
#start script
sudo $IPT -P INPUT ACCEPT
sudo $IPT -P OUTPUT ACCEPT
sudo $IPT -P FORWARD ACCEPT
sudo $IPT -t nat -P PREROUTING ACCEPT
sudo $IPT -t nat -P POSTROUTING ACCEPT
sudo $IPT -t nat -P OUTPUT ACCEPT
sudo $IPT -t mangle -P PREROUTING ACCEPT
sudo $IPT -t mangle -P OUTPUT ACCEPT
sudo $IPT -F
sudo $IPT -t nat -F
sudo $IPT -t mangle -F
sudo $IPT -X
sudo $IPT -t nat -X
sudo $IPT -t mangle -X
#block trafic
sudo $IPT -P INPUT DROP
sudo $IPT -P OUTPUT DROP
sudo $IPT -P FORWARD DROP
sudo $IPT -N bad_packets
sudo $IPT -N bad_tcp_packets
sudo $IPT -N icmp_packets
#udp packets
sudo $IPT -N udp_inbound
sudo $IPT -N udp_outbound
#tcp packets
sudo $IPT -N tcp_inbound
sudo $IPT -N tcp_outbound
#function bad_packets, interve vers firewall (WAN)
sudo $IPT -A bad_packets -p ALL -i $WAN_IFACE -s $LAN_NET -j DROP
sudo $IPT -A bad_packets -p ALL -m state --state INVALID -j DROP
sudo $IPT -A bad_packets -p tcp -j bad_tcp_packets
sudo $IPT -A bad_packets -p ALL -j RETURN
#function bad_tcp_packets
sudo $IPT -A bad_tcp_packets -p tcp -i $LAN_IFACE -j RETURN
sudo $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
sudo $IPT -A bad_tcp_packets -p tcp -j RETURN
#function icmp_packets
sudo $IPT -A icmp_packets --fragment -p ICMP -j DROP
sudo $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
sudo $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
sudo $IPT -A icmp_packets -p ICMP -j RETURN
#function udp_inbound udp (WAN) seulement new
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 113 -j REJECT
sudo $IPT -A udp_inbound -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
sudo $IPT -A udp_inbound -p UDP -j RETURN
#function udp_outbound bloque accès internet
sudo $IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT
#function tcp_inbound connexion tcp venant internet jusqu'au LAN
sudo $IPT -A tcp_inbound -p TCP -j RETURN
#function tcp_outbound bloque sortie paquet tcp du réseau LAN
sudo $IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT
#INPUT CHAIN
sudo $IPT -A INPUT -p ALL -i $LOOP_IFACE -j ACCEPT
sudo $IPT -A INPUT -p ALL -j bad_packets
sudo $IPT -A INPUT -p ALL -d 224.0.0.1 -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $LAN_IFACE -s $LAN_NET -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $WAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo $IPT -A INPUT -p TCP -i $WAN_IFACE -j tcp_inbound
sudo $IPT -A INPUT -p UDP -i $WAN_IFACE -j udp_inbound
sudo $IPT -A INPUT -p ICMP -i $WAN_IFACE -j icmp_packets
sudo $IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP
sudo $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#FORWARD CHAIN
sudo $IPT -A FORWARD -p ALL -j bad_packets
sudo $IPT -A FORWARD -p TCP -i $LAN_IFACE -j tcp_outbound
sudo $IPT -A FORWARD -p UDP -i $LAN_IFACE -j udp_outbound
sudo $IPT -A FORWARD -p ALL -i $LAN_IFACE -j ACCEPT
sudo $IPT -A FORWARD -i $WAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
#OUTPUT CHAIN
sudo $IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP
sudo $IPT -A OUTPUT -p ALL -s $LOOP_IP -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $LOOP_IFACE -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $LAN_IFACE -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $WAn_IFACE -j ACCEPT
sudo $IPT -t nat -A POSTROUTING -o $WAN_IFACE -j MASQUERADE
J'ai suivi des exemples pour le faire, j'ai compris la plupart des choses mais certains restent flous je dois bien l'avouer. Du coup je me demandais s'il n'y avait pas quelque chose que j'avais mal configurer dans mon firewall qui empêcherait de faire correctement passer internet et pas juste les paquets ICMP.
Merci de votre aide !
Dernière modification par Kraven (16-05-2017 11:17:31)