Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2319 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Règles iptables et NAT

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Règles iptables et NAT

n°62957
Ollijokine​n
Posté le 02-02-2010 à 17:04:45  profilanswer
 

Bonjour,
 
Je suis confronté à un petit problème sympathique et j'aimerais un peu d'aide pour le résoudre. Je vais essayer d'être le plus clair possible.
 
Je gère plusieurs serveurs qui virtualisent une ou plusieurs machines. Je dispose d'une IP publique pour chaque serveur (physique) et j'ai une règle NAT qui permet aux VM de communiquer avec l'extérieur.
J'ai créé un script qui me permet de déployer des règles de firewall sur tous mes serveurs ; le problème, c'est que si je veux établir des règles spécifiques à un serveur, je suis un peu coincé.
 
Je m'explique. Par défaut le firewall bloque tout (normal). Je veux autoriser l'accès à une machine sur l'ip xx.xx.xx.xx. Avec mon script, pas de problème, un petit iptables -A FORWARD -d xx.xx.xx.xx -p tcp --dport machin -j ACCEPT. (FORWARD parce que le firewall est sur le serveur physique)
 
Maintenant, je veux restreindre cet accès au serveur dont l'adresse est yy.yy.yy.yy. Comment fais-je donc ? Si je précise la source dans la règle FORWARD, ça ne va pas aller puisque la source sera une VM hébergée sur le serveur (donc une source d'origine réseau local). Si je fais une règle OUTPUT, ça n'ira pas non plus encore une fois puisque la source ne sera pas celle que l'on aura précisée.
 
Dois-je cumuler plusieurs règles, y'a-t-il une astuce que je ne connais pas, mon explication est-elle claire ?
 
Merci pour votre aide !

mood
Publicité
Posté le 02-02-2010 à 17:04:45  profilanswer
 

n°62965
o'gure
Multi grognon de B_L
Posté le 02-02-2010 à 22:32:07  profilanswer
 

Salut,
Ton explication n'est pas tout à fait claire, j'ai quelques mécompréhension mais le schéma suivant devrait répondre à ta question :
http://irp.nain-t.net/lib/exe/fetch.php/netfilter:pileip2.gif

 

>> http://irp.nain-t.net/doku.php/130 [...] chitecture

 

Si j'ai bien compris tu fais du SNAT ou du MASQUERADE pour que tes serveurs puissent discuter avec internet. Ce NAT a lieu en POSTROUTING, donc après le passage en FORWARD

 

=> quand tu fais un -t filter -A FORWARD, netfilter verra l'adresse ip non-natée. C'est sur celle là que tu devras effectuer tes tests de filtrage, sur l'adresse IP originale, en gros.

 

En espérant avoir été assez clair :-)


Message édité par o'gure le 03-02-2010 à 09:02:41

---------------
Relax. Take a deep breath !
n°62972
Ollijokine​n
Posté le 03-02-2010 à 09:00:53  profilanswer
 

Oui c'est presque ça, tu as réussi à me comprendre, c'est l'essentiel ;)  
Merci pour ta réponse, mais les règles ACCEPT sont déjà définies sur la table filter. Je m'explique. J'ai la règle MASQUERADE qui intervient au début :
 
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
 
puis des règles du style :
iptables -A FORWARD -s 192.168.2.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
 
ça, ça marche puisque la source est bien une des VM. Maintenant si je veux remplacer 192.168.. par l'adresse publique du serveur parent, ça ne marche pas.
 
Le filtrage doit donc intervenir sur l'IP natée et non l'IP originale.


Message édité par Ollijokinen le 03-02-2010 à 11:00:45

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Règles iptables et NAT

 

Sujets relatifs
IPTABLES pour intégration de SQUID transparent avec HTTPSMulti-NAT / ip forwarding / VPN et Cisco
Nattage iptables et adresses MACCisco ASA : regles de filtrage possible par user/groupe ?
iptables Etat du connection TCPDNS + NAT
VPN netasq NATCon figurer NAT pour laisser passer VPN L2TP du coté client.
Passerelle, NAT, qosNAT/PAT sur un Cisco 1841 : SMTP & VPN
Plus de sujets relatifs à : Règles iptables et NAT


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR