zownierd | Bonjour 
je poste ici parce que j'ai un petit problème de parefeu iptables x)
pour exposer la situation, j'ai un routeur/parefeu qui relie une DMZ (172.16.1.0/24) et un LAN (172.16.0.0/24) vers l'extérieur (10.0.0.0/8) . Sur la DMZ, j'ai 3 serveurs dont un serveur Windows 2008 (et 2 debian) et un client ubuntu sur le LAN.
J'aimerais pouvoir me connecter depuis une machine située à l'exterieur vers une machine située dans la DMZ ou dans le LAN.
J'ai bien configuré PuTTy vers mon routeur/firewall avec un tunnel ssh ( L8888 172.16.1.4:5900 )
la connexion s'ouvre bien en ssh mais mes règles semblent ne pas suffire pour laisser passer la connexion VNC du PC de l'exterieur vers le serveur Windows
Je voudrais bien savoir ce qu'il faut ajouter comme règles à mon script iptables pour laisser passer cette connexion 
j'ai pensé à plein de choses mais après un après midi complet dessus je fatigue x)
si vous aviez quelques idées ... x)
PS: C'est pour un projet en IUT donc soyez gentils si j'ai tout fait de travers X)
voilà mon script au cas ou :
Code :
- EXT=eth0
- LAN=eth1
- DMZ=eth2
- IPDMZ=172.16.1.0/255.255.255.0
- IPLAN=172.16.0.0/255.255.255.0
- IPEXT=10.10.33.200
- SERVDNS=172.16.1.4
- CLUSTERWEBDAV=172.16.1.3
- PORTWEBDAV=4500
- echo 1 > /proc/sys/net/ipv4/ip_forward
- case $1 in
- start)
- # Initialisation
- iptables -t nat -F
- iptables -t filter -F
- iptables -t mangle -F
- iptables -t nat -X
- iptables -t mangle -X
- iptables -t filter -X
- iptables -P INPUT DROP
- iptables -P OUTPUT DROP
- iptables -P FORWARD DROP
- # Autoriser la boucle locale
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A OUTPUT -o lo -j ACCEPT
- # Autorisation de ssh depuis l'exterieur
- iptables -A INPUT -i $EXT -p tcp --dport 22 -j ACCEPT
- iptables -A OUTPUT -o $EXT -p tcp --sport 22 -j ACCEPT
- # Autorisation de ssh depuis la DMZ
- iptables -A INPUT -i $DMZ -p tcp --sport 22 -j ACCEPT
- iptables -A OUTPUT -o $DMZ -p tcp --dport 22 -j ACCEPT
- # Internet en MASQUERADING (masquage d'IP)
- iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE
- # Autorisation de DNS de LAN vers DMZ
- iptables -A FORWARD -i $LAN -o $DMZ -p udp -d $SERVDNS --dport 53 -j ACCEPT
- iptables -A FORWARD -i $DMZ -o $LAN -p udp -s $SERVDNS --sport 53 -j ACCEPT
- # Autorisation de DNS de Routeur vers DMZ
- iptables -A OUTPUT -o $DMZ -p udp -d $SERVDNS --dport 53 -j ACCEPT
- iptables -A INPUT -i $DMZ -p udp -s $SERVDNS --sport 53 -j ACCEPT
- # Autorisation de DNS du serveur DNS vers Internet
- iptables -A FORWARD -i $DMZ -o $EXT -p udp -s $SERVDNS --dport 53 -j ACCEPT
- iptables -A FORWARD -i $EXT -o $DMZ -p udp -d $SERVDNS --sport 53 -j ACCEPT
- # Autorisation de http(s)de LAN vers le net
- iptables -A FORWARD -i $LAN -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A FORWARD -i $EXT -o $LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
- iptables -A FORWARD -i $LAN -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A FORWARD -i $EXT -o $LAN -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
- # Autorisation de http(s)de DMZ vers le net
- iptables -A FORWARD -i $DMZ -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A FORWARD -i $EXT -o $DMZ -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
- iptables -A FORWARD -i $DMZ -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A FORWARD -i $EXT -o $DMZ -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
- # Autorisation de Internet pour le routeur
- iptables -A OUTPUT -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -i $EXT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -i $EXT -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
- # Autoriser le LAN a échanger sur le port 80 avec le cluster WebDAV
- iptables -A FORWARD -i $LAN -o $DMZ -p tcp -s $IPLAN -d $CLUSTERWEBDAV --dport 80 -j ACCEPT
- iptables -A FORWARD -i $DMZ -o $LAN -p tcp -s $CLUSTERWEBDAV -d $IPLAN --sport 80 -j ACCEPT
-
- # Autorisation de VNC par tunelling
- # iptables -t nat -A PREROUTING -p tcp -d $IPEXT --dport 8888 -i $EXT -j DNAT --to-destination 172.16.1.4:5900
- # iptables -t nat -A POSTROUTING -p tcp --sport 5900 -o $EXT -j SNAT --to-source 10.10.33.120:8888
- # iptables -A FORWARD -i $EXT -o $DMZ -p tcp -d 172.16.1.4 --dport 5900 -j ACCEPT
- # iptables -A FORWARD -i $DMZ -o $EXT -p tcp -s 172.16.1.4 --sport 5900 -j ACCEPT
- # iptables -A OUTPUT -o $DMZ -p tcp --dport 5900 -j ACCEPT
- # iptables -A INPUT -i $DMZ -p tcp --sport 5900 -j ACCEPT
- # Autorisation de WWW par le routeur (tunelling)
- # iptables -A INPUT -i $LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
- # iptables -A OUTPUT -o $LAN -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
- # Routage NAT 10.10.33.200:4500 va sur 172.16.1.3:80
- iptables -t nat -A PREROUTING -p tcp -d $IPEXT --dport $PORTWEBDAV -i $EXT -j DNAT --to $CLUSTERWEBDAV:80
- iptables -t nat -A POSTROUTING -p tcp --sport 80 -o $EXT -j SNAT --to $CLUSTERWEBDAVEXT:$PORTWEBDAV
- iptables -A FORWARD -i $EXT -o $DMZ -p tcp -d $CLUSTERWEBDAV --dport 80 -j ACCEPT
- iptables -A FORWARD -i $DMZ -o $EXT -p tcp -s $CLUSTERWEBDAV --sport 80 -j ACCEPT
- # Autorisation de DHCP
- #HAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAaaaFock :(
- ;;
- stop)
- iptables -t nat -F
- iptables -t filter -F
- iptables -t mangle -F
- iptables -X
- iptables -P INPUT ACCEPT
- iptables -P OUTPUT ACCEPT
- iptables -P FORWARD ACCEPT
- ;;
- restart)
- service firewall stop
- service firewall start
- ;;
- *)
- ;;
- esac
|
|
