Hello
 
Je bute sur l'installation de mes règles iptables. Grosso modo j'ai une machine ubuntu qui me sert de DHCP / DNS / routeur / DL.....
 
Je cherche à mettre des règles pour la sécurisation de la machine avant de l'exposer à internet.  
 
Du coup je fais :
 
Activation du forward :  
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -F FORWARD
 
On accepte le trafic depuis le localhost :
 
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
 
On accepte le trafic depuis le réseau local :
 
sudo iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
sudo iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
 
Ensuite s'en suit des règles d'INPUT pour le trafic entrant d'internet :  
 
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport port1-j ACCEPT
sudo iptables -A INPUT -i eth0-p tcp --dport port2 -j ACCEPT
sudo iptables -A INPUT -i eth0-p tcp --dport port3 -j ACCEPT
sudo iptables -A INPUT -i eth0-p udp --dport port4 -j ACCEPT
sudo iptables -A INPUT -i eth0-p tcp --dport port5-j ACCEPT
sudo iptables -A INPUT -i eth0-p tcp --dport port6 -j ACCEPT
sudo iptables -A INPUT -i eth0-p udp --dport port7 -j ACCEPT
sudo iptables -A INPUT -i eth0-p udp --dport port8 -j ACCEPT
sudo iptables -A INPUT -i eth0-p tcp --dport port9 -j ACCEPT
 
Ensuite policy DROP par défaut :
 
sudo iptables -P INPUT -i eth0 -j DROP
sudo iptables -N LOG_DROP
sudo iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
sudo iptables -A LOG_DROP -j DROP
 
Et en activant le DROP, depuis une machine du réseau local, je n'ai plus accès à rien (DNS / proxy). Normalement la règle du trafic depuis le réseau local devrait fonctionner non ?
 
J'ai du mal à voir où est l'erreur....
 
Si vous avez une idée  

t'es sûr que tu veux pas utiliser nftables plutôt ? iptables est en train de devenir deprecated.

Je connais pas du tout, je vais regarder.

Interessant, je ne connaissais pas non plus... je vais peut-être envisagé de passer à nft pour mon router du coup

Là tu as configuré le NAT sortant et supprimer les règles de firewalling pour le forward
 
l'activation du routage/forward (IPv4) c'est au niveau système et non pas au niveau firewall
sysctl -w net.ipv4.ip_forward=1

ensuite au niveau de ton firewall:
- tu fais du stateless (ie. je vois rien qui va tracker l'état des sessions => tu vas accepter dans un sens mais pas forcément dans l'autre
- tu indiques port1 port2 port3... ça correspond à quoi ?

Différents ports pour VPN, serveur Web, etc etc.

Par contre pour les règles :

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
sudo iptables -F FORWARD

je les vois toujours en plus de l'echo 1 vers ip_forward sur les différents sites que j'ai vu, ça veut dire que c'est pas indispensable.

Du coup faut que je vire le -F FORWARD ?

ça dépend de ce que tu veux faire
avant d'appliquer des commandes/règles, il faut bien comprendre ce que ça déclenche derrière:
1. systctl -w net.ipv4.ip_forward=1 active le routage dans le kernel. C'est à dire que si ton kernel reçoit un paquet alors qu'il n'en est pas le destinataire, il va faire un lookup IP et le router (si les règles de firewall l'autorise et si une route existe). Si c'est à 0 et que le paquet n'est pas pour lui, alors il le discard.

2. POSTROUTING -j MASQUERADE cette commande permet de faire du NAPT en sortie en remplaçant l'adresse source du paquet original par l'adresse de ton interface de sortie (ie. eth0 dans ton cas) et en plus va gérer la couche TCP/UDP en translatant le port source également

3. ça supprime les règles existante dans la chain FORWARD de la table filter d'iptables (ie ça fait le ménage, généralement on fait ça avant d'en mettre d'autres).

 
Je t'assure que j'essaye, mais c'est pas le plus simple iptables

je te conseille d'installer et configurer un fail2ban également

j'ai ça le fail2ban, installer depuis la 1ère heure