Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2931 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

[Iptables] J'invoque un dieu de Iptables

n°804022
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:00:40  profilanswer
 

Reprise du message précédent :
Le route -n est pas indispensable du coup  :)


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
mood
Publicité
Posté le 21-04-2006 à 23:00:40  profilanswer
 

n°804024
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:04:48  profilanswer
 

Sauf si tu y vois une quelconque source de problème, je préfère poster ici, de façon à aider au maximum celui qui pourrait avoir le meme soucis que moi ;)
(je prends quand meme le temps de blanker quelques infos sensibles)
 

Code :
  1. web02-gti:~# route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. X.X.X.8 (**1**)      0.0.0.0         255.255.255.X U     0      0        0 eth0
  5. 192.168.68.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
  6. 0.0.0.0         X.X.X.9 (**2**)      0.0.0.0         UG    0      0        0 eth0
  8. (**1**) = ligne "network" dans /etc/network/interfaces pour eth0 et eth0:0
  9. (**2**) = gateway de mon fai dans /etc/network/interfaces pour eth0 et eth0:0


---------------
dieu créa l'homme et meuh fit la vache
n°804025
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:05:56  profilanswer
 

oops plus besoin apparemment ...
l'alias je l'ai créé dans /etc/network/interfaces, c'est bien ça non ?

Message cité 1 fois

---------------
dieu créa l'homme et meuh fit la vache
n°804026
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:06:10  profilanswer
 

Non, c'est pour t'éviter de t'emmerder à masquer les IP à chaque fois :)
tu fais comme tu le sens :jap:


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°804028
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:08:28  profilanswer
 

le20k a écrit :

oops plus besoin apparemment ...
l'alias je l'ai créé dans /etc/network/interfaces, c'est bien ça non ?


je sais pas si ce que tu as fait est correct dans ce fichier, mais ce qui est sur c'est que les aliases ne sont pas créés en ce moment.
T'as pensé à redémarrer les interfaces (si t'as rebooté depuis, c'est bon aussi) pour prendre en compte les modifs, notamment la création des aliases ?


Message édité par Zzozo le 21-04-2006 à 23:08:55

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°804030
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:09:56  profilanswer
 

Y'a juste un truc que je ne fais pas, et je pensais que c'était bon jusqu'à ce que tu me fasses douter :
 
Je n'ai pas de auto eth0:0 dans /etc/network/interfaces pour eth0:0
C'est grave docteur ?


---------------
dieu créa l'homme et meuh fit la vache
n°804031
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:11:46  profilanswer
 

A priori, non, je pense pas


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°804032
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:11:46  profilanswer
 

Les interfaces sont définies ici : http://forum.hardware.fr/hardwaref [...] tm#t803889
Tu peux donc voir comment j'ai créé l'alias (eth0:0).


---------------
dieu créa l'homme et meuh fit la vache
n°804036
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:18:52  profilanswer
 

Oui mais je ne connais pas la syntaxe spécifique à Debian, mais ce qui est sur c'est que les aliases n'ont pas été créé là (le ifconfig le montre bien), je peux donc pas trop t'aider sur ce coup là ;)
Vois ça avec qqun qui connais mieux Debian que moi pour cette histoire de fichier de config d'interfaces :)
 
En attendant, pour tester tes règles de redirection/filtrage, tu peux ajouter l'alias à la main comme ça :
ifconfig eth0:1 add <l'IP publique x.x.x.2>
 
et tu retestes :)


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°804039
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:25:17  profilanswer
 

ho ho ...
un ifconfig simple après pour me montrer la tronche de mes interfaces me donne (vue simplifiée) :
 
eth0:1:0  Link encap:Ethernet  HWaddr bla:bla:bla
          inet addr:X.X.X.2  Bcast:0.0.0.0  Mask:0.0.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:5 Base address:0x9800
 
et je n'ai aucune indication de ma très chère et tant désirée eth0:0 ... mmmmmmmm une piste !


---------------
dieu créa l'homme et meuh fit la vache
mood
Publicité
Posté le 21-04-2006 à 23:25:17  profilanswer
 

n°804040
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:26:57  profilanswer
 

mais ça attendra malheureusement lundi .... je me fais jeter à nouveau :(
 
Zzozo traineras-tu dans le coin lundi ?


---------------
dieu créa l'homme et meuh fit la vache
n°804042
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 21-04-2006 à 23:30:32  profilanswer
 

Y'a des chances, oui :)
A quelle heure, je sais pas ...


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°804044
le20k
un ordinateur? pour koi faire?
Posté le 21-04-2006 à 23:31:55  profilanswer
 

moi à partir de 9h, heure montréalaise
je ferais un petit up
 
bon weekend !
;)


---------------
dieu créa l'homme et meuh fit la vache
n°804577
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 15:26:20  profilanswer
 

Plop ! hello Zzozo !
Je viens de replonger le nez dans la passerelle, et dans mon /etc/network/interfaces, j'ai remplacé l'alias eth0:0 par l'alias eth0:1 pour voir si ça n'était pas ça le problème ...
 
Mais non ...
 
Donc on est rendu au meme point, l'eth0:0 ne se monte pas au démarrage alors qu'elle est bien déclarée (cf : http://forum.hardware.fr/hardwaref [...] tm#t803889 ).
 


---------------
dieu créa l'homme et meuh fit la vache
n°804581
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 15:29:50  profilanswer
 

ok ... je sors ...
il me manquait un auto eth0:0 .....
bon je teste toute la sauce pour voir si ça fonctionne ;)


---------------
dieu créa l'homme et meuh fit la vache
n°804583
Cruchot
Posté le 24-04-2006 à 15:30:09  profilanswer
 

Salut,
 
Rajoute

auto eth0:0

pour voir ? Puis

/etc/init.d/networking restart


Message édité par Cruchot le 24-04-2006 à 15:31:04
n°804594
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 15:53:03  profilanswer
 

Merki Cruchot, je l'ai trouvé juste avant ;)
 
Mais j'ai encore des soucis :
- depuis internet, je peux entrer sur le port 22 de ma passerelle, mais je ne peux pas atteindre le port 80 sur mon l'IP publique x.x.x.2 (qui pointe sur le serveur interne numero 2 à l'adresse 192.168.68.4)
- depuis le serveur interne numero 2 je peux entrer sur le port 22 de ma passerelle, mais je ne peux rien faire d'autre (pas de sortie vers internet) (la gateway de ce serveur est parametrée pour que ce soit l'adresse de ma passerelle)
 
Le firewall est sensé tout laisser passer en sortie comme indiqué ici http://forum.hardware.fr/forum2.ph [...] =0#t803915


---------------
dieu créa l'homme et meuh fit la vache
n°804669
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 18:09:22  profilanswer
 

Pour aider la compréhension de la chose, j'ai fait un jouli dessin :
 
http://www.gtinnovatech.com/objectif.gif
 
 
Ce qui fonctionne c'est :
  - toutes les communications entre chaque interface et la passerelle.
 
Ce qui ne fonctionne pas c'est  
  - toutes les communications entre les interfaces (eth0 / eth0:0 d'un côté, eth1 de l'autre).
 
De plus :
- seules les communications entrant sur l'ip publique X.X.X.1 sur le port 1723 sont acceptées et transmises au serveur 1
- seules les communications entrant sur l'ip publique X.X.X.2 sur le port 80 sont acceptées et transmises au serveur 2
- le port 22 est ouvert sur la passerelle en externe comme en interne.
 
En théorie, tous mes fichiers semblent correct...  
Any help ? svp ?  :ange:


---------------
dieu créa l'homme et meuh fit la vache
n°804748
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 22:14:34  profilanswer
 

Ok, une tout petite partie du problème est résolue :
J'avais  /proc/sys/net/ipv4/ip_forward à 0
Ça a résolu un truc : depuis internet, j'arrive à atteindre les serveurs internes.
 
MAIS, je peux atteindre le serveur 2 par l'IP publique 1 ET par l'IP publique 2 :(
 
Zzozo reviennnnnnnt !!! stppp ! :)


---------------
dieu créa l'homme et meuh fit la vache
n°804751
le20k
un ordinateur? pour koi faire?
Posté le 24-04-2006 à 22:37:22  profilanswer
 

Ok, deuxieme element de réponse :
J'arrive à faire en sorte que le serveur 2 soit atteignable uniquement par l'IP publique 2.
 
J'ai modifié la ligne donnée par Zzozo pour le Destination NAT :  
de : iptables -t nat -A PREROUTING -i <IF_inet> -p <le protocole, tcp ou udp> -d <IP_pub> --dport  <Serv> -j DNAT --to-destination <IP_priv>
en : iptables -t nat -A PREROUTING -p <le protocole, tcp ou udp> -d <IP_pub> --dport  <Serv> -j DNAT --to-destination <IP_priv> (j'ai viré le -i <IF_inet>. )
 
Question : est-ce grave ?..


---------------
dieu créa l'homme et meuh fit la vache
n°805549
le20k
un ordinateur? pour koi faire?
Posté le 27-04-2006 à 17:50:31  profilanswer
 

OK ! apres 3 jours de bidouillage à temps plein, j'ai un script iptables qui tourne parfaitement, enfin presque ..... :)
 
Toutes les focntionnalités que je souhaitais mettre en place sont présentes, mais j'ai perdu la connectabilité de "apt-get" ...
Vraiment jsuis mauvais quelque part ! J'ai beau tout essayer, le telechargement avec apt-get ou avec wget fonctionne plus.
 
Donc si quelqu'un peut juste me dire pourquoi apt-get et wget ne telechargent plus, je serais moins bete ce soir en me couchant :D
 
(accessoirement, mes sources de deb sont toutes en http, et les wget que je fais sont aussi en http)
 
ça est mon script iptable final :

Code :
  1. echo 1 > /proc/sys/net/ipv4/ip_forward
  3. # Si on veut logger les paquets DROP :
  4. # iptables -t filter -N LogDrop
  5. # iptables -t filter -A LogDrop -j LOG --log-prefix LogDrop
  6. # iptables -t filter -A LogDrop -j DROP
  7. # Modifier la regle qu on veut droper selon :
  8. # iptables -t filter -A INPUT -i eth0 -p icmp -j LogDrop
  10. # flush des regles generales existantes
  11. iptables -t filter -F
  12. iptables -t filter -X
  13. # on barre tout acces
  14. iptables -t filter -P INPUT   DROP
  15. iptables -t filter -P OUTPUT DROP
  16. iptables -t filter -P FORWARD DROP
  17. # flush des regles nat existantes et pointage sur ACCEPT par defaut
  18. iptables -t nat -F
  19. iptables -t nat -X
  20. iptables -t nat -P PREROUTING ACCEPT
  21. iptables -t nat -P POSTROUTING ACCEPT
  22. iptables -t nat -P OUTPUT ACCEPT
  23. # flush des regles mangle existantes et pointage sur ACCEPT par defaut
  24. iptables -t mangle -F
  25. iptables -t mangle -X
  26. iptables -t mangle -P PREROUTING ACCEPT
  27. iptables -t mangle -P INPUT ACCEPT
  28. iptables -t mangle -P OUTPUT ACCEPT
  29. iptables -t mangle -P FORWARD ACCEPT
  30. iptables -t mangle -P POSTROUTING ACCEPT
  31. # la machine elle-meme est sure
  32. iptables -A INPUT -i lo -j ACCEPT
  33. iptables -A OUTPUT -o lo -j ACCEPT
  34. # le reseau identifie par l'interface eth1 est sur
  35. iptables -A INPUT -i eth1 -j ACCEPT
  36. iptables -A OUTPUT -o eth1 -j ACCEPT
  38. # autoriser uniquement une plage d'adresses IP
  39. iptables -t nat -A POSTROUTING -s 192.168.68.0/255.255.255.0 -o eth0 -j MASQUERADE
  41. # si un jour j'ai envie d'autoriser une adresse ip en particulier
  42. #iptables -t nat -A POSTROUTING -s 192.168.68.10 -o eth0 -j MASQUERADE
  44. # tout ce qui sort du lan vers le Net est accepte
  45. iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  46. # Seules les connexions deja etablies ou en relation avec des connexions etablies sont acceptees venant du Net vers le LAN
  47. iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
  49. # ----------------------------CONFIGURATION PORTS----------------------------------------------------
  50. # ----------------------------ports internes a la passerelle ----------------------------------------
  51. # ouverture du 22 (ssh)
  52. iptables -A INPUT  -p tcp --dport ssh -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  53. iptables -A OUTPUT -p tcp --sport ssh -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  55. # ----------------------------ports hors passerelle--------------------------------
  56. iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  57. iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  58. # ouverture du 1723 uniquement depuis la 13
  59. iptables -t nat -A PREROUTING -p udp -d X.X.X.1 --dport  1723 -j DNAT --to-destination 192.168.68.1:1723
  60. iptables -t filter -A INPUT -p udp -d X.X.X.1 --dport  1723 -m state --state NEW -j ACCEPT
  61. iptables -t filter -A FORWARD -p udp --dport  1723 -m state --state NEW -j ACCEPT
  62. # ouverture du 80 uniquement depuis la 14
  63. iptables -t nat -A PREROUTING -p tcp -d X.X.X.2 --dport  80 -j DNAT --to-destination 192.168.68.4:80
  64. iptables -t filter -A INPUT -p tcp -d X.X.X.2 --dport  80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  65. iptables -t filter -A FORWARD -p tcp --dport  80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  68. # sauvegarde et mise en place du firewall
  69. iptables-save > /etc/firewall-rules
  70. iptables-restore < /etc/firewall-rules


---------------
dieu créa l'homme et meuh fit la vache
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
[Iptables] probleme de NATproblème passerelle internet (Iptables, je pense)
iptables & rejet des acquittementsIPTABLES avec MASQUERADE
Iptables -L qui ne fonctionne pas ![Iptables] Config de ftp (résolu)
Multiposte (free tv) >> configuration de Arno's iptablesIptables, restreindre l'acces internet pour certains postes
[Debian / IPTables] Création du script ?Options Squid et IPtables intéressantes pour une entreprise
Plus de sujets relatifs à : [Iptables] J'invoque un dieu de Iptables

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.109 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)