J'ai appris que je passais par un VLAN ( et oui ! je travail dans un hopital)
Comme ej vous dis il y a personne pour maider dc jai vraimen du mal.

J'ai donc essayer la commande traceroute qui ne fonctionne pas, savez vous pourquoi ?

parcontre jai essayé un tracepath www.google.fr, cela donne :


1: 10.181.206.163 (10.181.206.163) 0.160ms pmtu 1500
1: 10.181.207.252 (10.181.207.252) 2.100ms
2: router.sls.ap-hop-paris.fr (10.181.209.1) 31.210ms
3: 164.1.5.156 (164.1.5.156) 39.484ms
4: 164.1.6.3 (164.1.6.3) 36.526ms
5: 164.2.3.35 (164.2.3.35) 37.454ms
6: 164.2.1.161 (164.2.1.161) 23.721ms
7: ew2-pri.ap-hop-paris.fr (164.2.1.114) 40.286ms
8: bsr-3104-2-c.ap-hop-paris.fr (164.2.255.242) 63.609ms
9: Vlan172.c2vel.9tel.net (62.62.139.4) 34.534ms
10: 62-62-139-90.reverse.9tel.net (62.62.139.90) 45.234ms
11: Vlan4043.c2vel.9tel.net (213.203.124.186) asymm 10 37.142ms
12: 117.1.39-62.rev.gaoland.net (62.39.1.117) asymm 11 31.069ms
13: V4093.core1.cbv.gaoland.net (212.94.160.9) asymm 12 38.376ms
14: V3994.cbv1-co-1.gaoland.net (212.94.162.210) asymm 15 34.262ms

Poste le Thursday 12 January 2006 16:51:34

Bon, on va commencer par le debut. Je pense que tu t'es base sur une vieille doc d'iptables.
Dans un premier temps le "-t filter" n'est plus necessaire.
Ensuite tu as un probleme avec les INPUT, OUTPUT et surtout il te manque le FORWARD.

INPUT = Tous ce qui rentre sur ton firewall mais a destination du firewall et de rien d'autre
OUTPUT = Tous ce qui sort de ton firewall et emis par celui-ci
FORWARD = Tous ce qui traverse ton firewall, exemple d'un PC vers Internet.

Donc chez toi :

Citation
jesbond
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 10.0.0.0/8 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.0/8 -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/8 -p tcp --dport 8080 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.0/8 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/8 -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/8 -p tcp --dport 67 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.0/8 -p tcp --dport 67 -j ACCEPT

Doit devenir

iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p tcp --dport 8080 -j ACCEPT 
iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p udp --dport 53 -j ACCEPT 
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 67 -j ACCEPT 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Tu peux voir que j'ai fais des changements :
DNS : 53/udp (pour les requetes et tcp pour les transferts de zones)
Bootp/dhcp : tu ne peux pas fixer l'adresse avec un 10.0.0.0/8 car justement il n'a pas d'adresse c'est boen ce qui demande. (je suis plus sur si c'est udp ou tcp, a voir)
Ensuite tu ne dois pas mettre les regles de retours mais simplement un 'state'.
Tu dois aussi mettre ce state sur INPUT et OUTPUT.

Maintenant je ne suis pas sur de ce que tu veux faire. Car ca m'etonnerais que tes clients passent par ton firewall pour le proxy et surtout pour le dhcp.


Sinon pour le port des VLAN, non tu ne peux pas savoir le port ou tu es. Tu dois te connecter sur le switch pour le savoir. (maintenant ca depend peut-etre de certains modele de switch, mais c'est sans interet)

Poste le Thursday 12 January 2006 20:12:37

Merci pour ta réponse chromosone !

voila mon script pr le moment :

#!/bin/bash
# Script pour le firewall
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP # rejette les paquets entrants
iptables -t filter -P OUTPUT DROP # rejette les paquets sortants
iptables -t filter -P FORWARD DROP # rejette les paquets non locaux

# Connexion localhost et connexions client-serveur
# Nous considérons que notre réseau local est également sûr (ce qui n'est pas forcément vrai)
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -j ACCEPT # en sortie
iptables -t filter -A INPUT -i eth1 -j ACCEPT # en entrée

iptables -t filter -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT



les 2 derneire lignes ont suffis pour que jai la connexion internet sur le firewall(serveur) !

est ce que cest bon /possible ??


que dois je faire maintenant pour configurer >le firewall vis a vis de mon client ??

en gros quelles sont les etapes a realiser une par une ??

merci a tous ceux qui pourront mapporter de laide !!

Poste le Friday 13 January 2006 12:23:01

voici ce que jai rajouté afin d'obtenir la connexion internet sur le client windows (qui apsse apr eth1)


# Translation d'adresses pour le client WINDOWS qui traverse la passerelle
# en sortant par ppp0
iptables -t nat -A POSTROUTING -s 192.168.0.1 (#le client Windows) -o eth0 -j MASQUERADE


# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT



Maintenant je voudrai par exemple bloquer le port 23 TELNET, de façon a ce que le client ne puisse pas se connecter en telnet au serveur :
jai fais ceci mais cela ne fonctionne pas :

iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --dport 23 -j DROP

que dois je faire sil vous plait et que me conseiller vous pour ameliorer mon script ??

Poste le Friday 13 January 2006 16:18:27

Peux-tu me dire ce que tu veux faire en finalite, et surtout un idee de ton schema reseau. Car tu ne m'as pas repondu quant au DHCP,et ce qui se trouve derriere eth0, ...
Bref plus d'info pour te donner et t'expliquer le script.

Poste le Friday 13 January 2006 17:36:40

DHCP fonctionne sur UDP (sport 67 <-> dport 68)

pour filtrer les connexions qui passent au travers de ta machine, il faut utiliser la table FORWARD

Pour le telnet, ta première ligne (iptables -t filter -A INPUT -i eth1 -j ACCEPT # en entrée ) autorise tout sur l'entrée eth1, même si tu rajoutes des restrictions en deuxième, troisième, ... ligne c'est toujours la première qui matchera ton paquet TCP dport 23 et la connexion sera autorisée.

L'ordre des lignes a une importance cruciale

iptables -t filter -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 23 -j DROP

acceptera les connexions telnet

iptables -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT

refusera les connexions telnet

(pour insérer ou deleter des lignes, utilise respectivement -I <table> <numero_de_ligne> et -D <table> <numero_de_ligne>

Poste le Friday 13 January 2006 18:58:42

Merci a toi greywolf , javai oublié de respecter l'ordre ^^

donc jai rajouté ces lignes la avant et ça empeche bien le telnet et le ssh :

echo " -> Blocage TELNET... "
iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 23 -j DROP


echo " -> Blocage SSH... "
iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 22 -j DROP

Il y a quelque chose que je ne comprends pas....qui n'est pas clair

eth1 = client

Donc jai interdit a mon client de faire des connexions ssh et telnet de façon générale....
Si je dois interdire encore plein de choses comme FTP,mail,msn,dameware,......
Ne faudrait-il pas tout interdire des le départ, et réouvrir ensuite les ports que l'on veut ????

la, nous faison le contraire avec ces lignes, nous acception TOUT !!!
(ça va prendre du temps a fermer pleins de ports ???) :

iptables -t filter -A OUTPUT -o eth1 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -j ACCEPT

Poste le Monday 16 January 2006 09:39:38

Eivdement ferme tout, et ouvre sur demande.
Par contre je comprends toujours pas ton dhcp, ton proxy, ... je vois vraiment pas a quoi ressemble ton reseau.
Et ca m'etonnerais que tu fasses du proxy-arp pour les requetes broadcast DHCP.

Poste le Monday 16 January 2006 13:48:37

Pour te repondre chromosone :

jai juste 2 machines a ma disposition pour le moment...

_ un client windows
_ un serveur (firewall) MANDRIVA : eth1 est relié au client
eth0 est relié au réseau de l'entreprise, donc a internet et au serveur proxy(8080), qui me donne une adresse automatiquement, donc c pour ça que je parlais de dhcp mai sa a rien avoir en fait.....je fais pas de proxy-arp ou autre ....


donc si je veux tout fermé il faut que je fasse l'inverse alors ? :

j' ouvre le port 23 je fais ça :
iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 23 -j ACCEPT

et je coupe tout :
iptables -t filter -A OUTPUT -o eth1 -j DROP
iptables -t filter -A INPUT -i eth1 -j DROP

et la (sur le client) jai seulement internet et le port 23 d'ouvert ?? c bien ça ?
donc c'est plus sécurisé ? dis moi si je me trompe stp
sinon je fai comment pour voir les ports d'ouvert sur windows ??


merci de ton aide chromosone

Poste le Monday 16 January 2006 14:24:35

J'ai testé ça fonctionne !

mai le probleme quand je veux ouvrir les ports 25 et 110 pour outlook express pr laisser passer les mails, ça marche pas ya une erreru ?



echo " -> Ouverture des ports 25 et 110 MAIL... "

iptables -t filter -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 25 -j ACCEPT

iptables -t filter -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 110 -j ACCEPT


et si je veux continuer a pinger ? ya un port pour ça ?

jai deja appris pleins de choses :)

merci d'avance

ça sera mes derneires questions...lol mes dernieres volonté

apres je me mets au vlan...

Poste le Monday 16 January 2006 14:45:50

salut,

Ton serveur POP et SMTP ne se trouve pas sur ta machine Mandriva, n'est ce pas?

dans ce cas, il faut jouer avec la table FORWARD pour autoriser ce qui peut passer au travers de ton firewall (de eth0 vers eth1 et vice-versa)
INPUT et OUTPUT ne concerne les paquets qu'à destination de la machine bastion (i.e. ta Mandriva)

#politique FORWARD à DROP par défaut
iptables -P FORWARD DROP

#autorisation des requêtes sortantes POP et SMTP
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.1 -p tcp -m multiport --dports 110,25 -m state --state NEW,ESTABLISHED -j ACCEPT

#Autorisation des réponses liées à la session TCP établie
iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.1 -p tcp -m multiport --sports 110,25 -m state --state ESTABLISHED -j ACCEPT

(les règles ci-dessus ne sont valables que pour le client windows 192.168.0.1 mais pour toute destination, tu peux restreindre l'interrogation de serveurs pop et smtp spécifiques avec -d <IP_destination> ; idem pour la réponse avec -s <IP_source> )

pour icmp, il faut jouer avec -p icmp et les types/codes (iptables -p icmp -h)

Poste le Monday 16 January 2006 19:22:49

Donc pour ton info :
DHCP c'est uniquement en INPUT (quoique je ne sais pas comment tu attribues les adresses de ton ou tes clients)
PROXY (8080) c'est du FORWARD
SMTP/POP3 : C'est du FORWARD
TELNET c'est de l'INPUT

Bref c'est super simple, il faut juste faire la differences entre ce qui passe au travers et ce qui s'arrete dessus.

Maintenant je t'avais fait une remarque concernant les ESTABLISHED, tu ne dois pas mettre des regles de retours. Elles serontn automatiquement reprisent dans le sessions ayant un status de ESTABLISHED, and RELATED.
Donc lors de l'initiation de la session (paquet SYN), iptables regarde si il connait la regle, si il la connait et qu'il l'accept alors OK, apres tous les autres paquets seront repris dans la ligne ESTABLISHED,RELATED.

Donc pour des raisons de performances on met sur la premiere ligne la RELATED,ESTABLISHED, (de chaque tables INPUT,OUTPUT, FORWARD) et ensuite les regles que tu veux ouvrir, et tu dois mettre les regles par defaut a DROP (plutot que REJECT)

Si tu comprends le concept de INPUT/OUTPUT/FORWARD et de STATE, tu as tout compris.

Poste le Monday 16 January 2006 20:02:17

Je tiens franchement a vous remercier ! pour l'aide que vous m'apporteez un peu chaque fois.. et dire que je ny connaissai rien au départ ))
donc pour vous répondre :


1) greywolf, j'ai fais comme tu m'as dis qui pourra me servir par la suite dans mon projet personnel, je dis par la suite, car pour le moment, les ports 25 et 110 sont bloqués par défault par l'entreprise :/


2) chromosone, J'ai compris que le FORWARD concernait les flux entre eth0 et eth1; et que INPUT/OUTPUT concernait les flux vers la mandriva....
Malgré les nombreuses documentation que j'ai lues, il reste encore des points assez flous....Il faut m'en escusez (ce nest pas de la mauvaise volonté)

Donc jai mis les lignes ETABLISHED,RELATED avant mes regles concernant les ouvertures de ports, pour la performance .... c'est fait !


3) Mais si je supprime la regle de retour :
tu parles de ça ? ----> iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

si je la supprime ça ne marche plus.


4) Point flou :
Pourquoi ai-je la connexion internet sur mon client WINDOWS , alors que je n'ai pas mis cette ligne :
#iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p tcp --dport 8080 -j ACCEPT




5) je vous montre mon script en entier cela sera plus simple. Vous pouvez faire des MODIFS suivant ce que vous pensez, mais EXPLIQUEZ SVP :
Sachant que je dois laisser passer les ports 25 et 110 (pour la messagerie) et le port 8080(proxy) . Cela amrche puisque jai internet sur le client !
chromosone ---> si tu veux dialoguer sur msn,des fois, ce sera plus simple !!



# Supprime les règles par défaut sur la table filter, nat et mangle
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

# Supprime les chaînes par défaut sur la table filter, net et mangle
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X

# RAZ du compteur de paquets
iptables -Z


echo " -> Initialisation de la table FILTER... "
iptables -t filter -P INPUT DROP # rejette les paquets entrants
iptables -t filter -P OUTPUT DROP # rejette les paquets sortants
iptables -t filter -P FORWARD DROP # rejette les paquets non locaux


# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"

echo " -> Initialisation de la table NAT... "
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

echo " -> Initialisation de la table MANGLE... "
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT


########################################################################################

# Connexions locales
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

########################################################################################



# Translation d'adresses pour le client WINDOWS qui traverse la passerelle
# en sortant par ppp0
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j MASQUERADE



# Acceptation des paquets pour les connexions sortantes et entrantes déjà établies
# c'est a dire des flux IP que la passerelle aura elle-meme initiés
iptables -t filter -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT


# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT




########################################################################################


echo " -> Ouverture des ports 25 et 110 MAIL... "

# Autorisation des requêtes sortantes POP et SMTP
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.1 -p tcp -m multiport --dports 110,25 -m state --state NEW,ESTABLISHED -j ACCEPT

# Autorisation des réponses liées à la session TCP établie
iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.1 -p tcp -m multiport --sports 110,25 -m state --state ESTABLISHED -j ACCEPT


########################################################################################


# Nous bloquons tous les ports de notre réseau local pour avoir une sécurité maximum
iptables -t filter -A OUTPUT -o eth1 -j DROP # en sortie
iptables -t filter -A INPUT -i eth1 -j DROP # en entrée


########################################################################################

Poste le Tuesday 17 January 2006 10:25:08

Je n'ai pas dit de la supprimer la ligne (point 3), mais de la mettre en debut.
Point 4, car tu as mis
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Tu es sur du commentaire suivant ?
# Translation d'adresses pour le client WINDOWS qui traverse la passerelle
# en sortant par ppp0
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j MASQUERADE

Pourquoi avoir fait deux lignes avec des state differents ?
# Acceptation des paquets pour les connexions sortantes et entrantes déjà établies
# c'est a dire des flux IP que la passerelle aura elle-meme initiés
iptables -t filter -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

Et visiblement tu patauges encore un peu avec les RELATED, ESTABLISHED et les NEW.
Relis tes regles en faissant bien attention a tes states, et tu veras des trucs bizarres.

Sinon sorry, pas de msn (sinon on arrete pas de me faire ch... :-) )

Poste le Tuesday 17 January 2006 16:36:55