Conversation
precedente ou
suivante
Problème FireWall ... au bord de la déprime
Envoyé par:
Schnoucky
Déjà, bonjour à tous, je fais mes premiers pas dans ce forum malgrès mon utilisation régulière de celui-ci.
Je vous expose mon problème :
Je dispose d'un serveur sous une Mandriva 2006.
eth1 -> internet
eth0 -> reseaux local
Je galère avec les règle d'iptables. Je souhaite gérer les connexions à internet des différents PC de mon réseaux grace au "fameux" firewall IPTABLES (par adresse MAC)
Voila mon script :
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
#Pc bureau de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00
????
8 -j ACCEPT
#Pc portable de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00????:C2 -j ACCEPT
#Pc de bureau de William
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00????:44 -j DROP
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Le problème est que si la règle par défault du FORWARD n'est pas sur ACCEPT (iptables -P FORWARD ACCEPT), et bien tous les PC du reseaux n'accèdent pas à internet.
Si quelq'un serait d'où provient mon problème, il eviterai un sucide certain !!!
PS : pour simplifier le problème j'ai mit les règles d'INPUT/OUTPUT en ACCEPT ... normalement c'est un peu plus sécurisé
, mais même comme sa sa ne fonctionne pas, alors qu'avec la règle de FORWARD : iptables -P FORWARD ACCEPT ... Sa Marche !
Merci à tous !
Je vous expose mon problème :
Je dispose d'un serveur sous une Mandriva 2006.
eth1 -> internet
eth0 -> reseaux local
Je galère avec les règle d'iptables. Je souhaite gérer les connexions à internet des différents PC de mon réseaux grace au "fameux" firewall IPTABLES (par adresse MAC)
Voila mon script :
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
#Pc bureau de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00
????8 -j ACCEPT
#Pc portable de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00
????:C2 -j ACCEPT
#Pc de bureau de William
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00
????:44 -j DROP
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Le problème est que si la règle par défault du FORWARD n'est pas sur ACCEPT (iptables -P FORWARD ACCEPT), et bien tous les PC du reseaux n'accèdent pas à internet.
Si quelq'un serait d'où provient mon problème, il eviterai un sucide certain !!!
PS : pour simplifier le problème j'ai mit les règles d'INPUT/OUTPUT en ACCEPT ... normalement c'est un peu plus sécurisé
, mais même comme sa sa ne fonctionne pas, alors qu'avec la règle de FORWARD : iptables -P FORWARD ACCEPT ... Sa Marche !
Merci à tous !
Poste le Wednesday 22 November 2006 19:33:26
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
greywolf
1: n'as tu pas inversé eth1 et eth0?
dans tes règles de forward, tu autorises ce qui vient de l'interface internet (eth1) vers l'interface LAN (eth0) dont le paquet source est émis par une machine dont l'adresse MAC est égale à un de tes PC LAN
tu ne gères pas le suivi des connexions
iptables -A FORWARD -i <iface_lan> -o <iface_internet> -m state --state NEW -m mac --mac-source XX
XXXXX -j ACCEPT
iptables -A FORWARD -i <iface_internet> -o <iface_lan> -m state --state ESTABLISHED -j ACCEPT
dans tes règles de forward, tu autorises ce qui vient de l'interface internet (eth1) vers l'interface LAN (eth0) dont le paquet source est émis par une machine dont l'adresse MAC est égale à un de tes PC LAN
tu ne gères pas le suivi des connexions
iptables -A FORWARD -i <iface_lan> -o <iface_internet> -m state --state NEW -m mac --mac-source XX
XXXXX -j ACCEPT
iptables -A FORWARD -i <iface_internet> -o <iface_lan> -m state --state ESTABLISHED -j ACCEPT
Poste le Wednesday 22 November 2006 21:37:27
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Attention de ne pas oublie le RELATED avec le ESTABLISHED.
Mais pourquoi travailler avec des MAC et pas des IP ?
Mais pourquoi travailler avec des MAC et pas des IP ?
Poste le Wednesday 22 November 2006 22:54:13
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
panthere noire
Poste le Thursday 23 November 2006 00:33:05
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
greywolf
Citation
chromosome
Attention de ne pas oublie le RELATED avec le
ESTABLISHED.
Mais pourquoi travailler avec des MAC et pas des
IP ?
si on ne considère pas les protocoles multi-connection (ftp,dcc,..) ce n'est pas utile.
Poste le Thursday 23 November 2006 20:31:03
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
panthere noire
Citation
chromosome
Attention de ne pas oublie le RELATED avec le
ESTABLISHED.
Mais pourquoi travailler avec des MAC et pas des
IP ?
parce que le adresse MAC identifie une carte reseau de manière unique ! contrairement a un ip qui peut changer a tout va !
Ensuite c'est pas obligatoire de mettre RELATED avec ESTABLISHED
Poste le Thursday 23 November 2006 22:40:55
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Alors je vais repondre a tes remarques :
- Le RELATED, merci je sais bien, mais a mon avis il va surement faire du FTP, et ca ne sert a rien de recevoir un POST dans 2 jours avec ca.
- MAC Address, Pour ton info la MAC est en "principe" unique dans le monde, mais a partir du moment ou tu peux la changer sur ta machine, ca n'a pas beaucoup d'interet. ensuite les MAC ne passent pas les routers, c'est du niveau 2, donc franchement tres limite. Et si il veux faire un firewall niveau 2 alors autant utiliser ebtables.
Donc iptables sur des MAC c'est possible, mais rarement utile.
- Le RELATED, merci je sais bien, mais a mon avis il va surement faire du FTP, et ca ne sert a rien de recevoir un POST dans 2 jours avec ca.
- MAC Address, Pour ton info la MAC est en "principe" unique dans le monde, mais a partir du moment ou tu peux la changer sur ta machine, ca n'a pas beaucoup d'interet. ensuite les MAC ne passent pas les routers, c'est du niveau 2, donc franchement tres limite. Et si il veux faire un firewall niveau 2 alors autant utiliser ebtables.
Donc iptables sur des MAC c'est possible, mais rarement utile.
Poste le Thursday 23 November 2006 23:03:58
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Donc pour repondre juste a ca.Citation
panthere noire
parce que le adresse MAC identifie une carte
reseau de manière unique ! contrairement a un ip
qui peut changer a tout va !
MAC c'est la meme chose on peut le changer tres facilement (avec un bete ifconfig), mais en plus tu as des contraintes avec les composants niveau 3.
Poste le Thursday 23 November 2006 23:07:38
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
Schnoucky
Re bonjour,
J'utilise les adresse sMAC, car mon (petit) frère sait changer son adresse IP mais pas son adresse MAC.
Le firewall sert à lui couper la connection pour qu'il fasse ses devoirs...(script C et php intervenant sur les règles d'IPTABLES).
Je ne me sert pas ESTABLISHED pour la simple raison que si par exemple mon frère joue a un jeu (tel que WoW ...) je ne pe pas bloquer la connexion puisqu'elle est établie et donc autorisé (peu être je fait une erreur en disant sa).
Pour le FTP, non je ne l'utilise pas...uniquement une passerelle et un serveur web famillial.
Sinon pour mon problème, j'ai modifier mon script comme sa (c'est pas forcément mieu ) :
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
#iptables -A INPUT -i eth1 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
#Pc bureau de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:17:31:E8:C08 -j ACCEPT
#Pc portable de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:14:C2:E6:17:C2 -j ACCEPT
#Pc de bureau de William
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:133:ED:8E:44 -j DROP
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Merci a tous Jeremy
J'utilise les adresse sMAC, car mon (petit) frère sait changer son adresse IP mais pas son adresse MAC.
Le firewall sert à lui couper la connection pour qu'il fasse ses devoirs...(script C et php intervenant sur les règles d'IPTABLES).
Je ne me sert pas ESTABLISHED pour la simple raison que si par exemple mon frère joue a un jeu (tel que WoW ...) je ne pe pas bloquer la connexion puisqu'elle est établie et donc autorisé (peu être je fait une erreur en disant sa).
Pour le FTP, non je ne l'utilise pas...uniquement une passerelle et un serveur web famillial.
Sinon pour mon problème, j'ai modifier mon script comme sa (c'est pas forcément mieu
) :
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
#iptables -A INPUT -i eth1 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
#Pc bureau de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:17:31:E8:C0
8 -j ACCEPT
#Pc portable de Jeremy
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:14:C2:E6:17:C2 -j ACCEPT
#Pc de bureau de William
iptables -A FORWARD -i eth1 -o eth0 -m mac --mac-source 00:13
3:ED:8E:44 -j DROP
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Merci a tous Jeremy
Poste le Friday 24 November 2006 13:40:27
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
greywolf
un simple
iptables -A FORWARD -i eth0 -o eth1 -s! <adresse_IP_PC_Jeremy> -j DROP
S'il prend ton adresse IP, il y aura conflit d'adresse.
tu intervertis toujours eth1 et eth0
Si tu fais du masquerade sur eth1, c'est qu'elle est bien ton interface internet.
Le filtrage du forward dans ton cas doit se faire du LAN->WAN soit
-i eth0 -o eth1
Sinon tu peux toujours essayer nuauth/nufw
iptables -A FORWARD -i eth0 -o eth1 -s! <adresse_IP_PC_Jeremy> -j DROP
S'il prend ton adresse IP, il y aura conflit d'adresse.
tu intervertis toujours eth1 et eth0
Si tu fais du masquerade sur eth1, c'est qu'elle est bien ton interface internet.
Le filtrage du forward dans ton cas doit se faire du LAN->WAN soit
-i eth0 -o eth1
Sinon tu peux toujours essayer nuauth/nufw
Poste le Friday 24 November 2006 19:46:52
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
panthere noire
Bon deja on va reprendre les adrese mac
1.- les adresse mac son unique par carte reseau
2.- si tu places une règle qui identifie l'adresse mac du pc, ET que tu change l'adresse PAR ifconfig Alors celle ci NE corespond PLUS a la regle et donc sa ne passe plus!
3.- c'est valable plutot en input.
Ensuite suivant la vertion de iptables tu peut identifier l'user, par son id donc tu fait ton script PAR id et donc par utilisateur (uniqument en output) + l'adresse MAC (en input)
tu peut aussi tester si tu peux identifier l'id du process du lapplication ,ceci ne marche pas chez moi sa plente.
bref avec sa sa devrai suffire
moi jem'en ser pour filtrer le Root celui n'a pas aces aux net si je suis loguer en temps qu'user et inversement
Important on ne doit pas mettre la police sure ACCEPT ccar on dit que:
tout ce qui n'es tpas autoriser est interdit. il est donc plus facile d'autoriser que d'interdire.
donc si on dit que tout est autoriser alors le risque est plus grand car on ne sais pas quoi interdire, ceci peut changer sur un serveur!
1.- les adresse mac son unique par carte reseau
2.- si tu places une règle qui identifie l'adresse mac du pc, ET que tu change l'adresse PAR ifconfig Alors celle ci NE corespond PLUS a la regle et donc sa ne passe plus!
3.- c'est valable plutot en input.
Ensuite suivant la vertion de iptables tu peut identifier l'user, par son id donc tu fait ton script PAR id et donc par utilisateur (uniqument en output) + l'adresse MAC (en input)
tu peut aussi tester si tu peux identifier l'id du process du lapplication ,ceci ne marche pas chez moi sa plente.
bref avec sa sa devrai suffire
moi jem'en ser pour filtrer le Root celui n'a pas aces aux net si je suis loguer en temps qu'user et inversement
Important on ne doit pas mettre la police sure ACCEPT ccar on dit que:
tout ce qui n'es tpas autoriser est interdit. il est donc plus facile d'autoriser que d'interdire.
donc si on dit que tout est autoriser alors le risque est plus grand car on ne sais pas quoi interdire, ceci peut changer sur un serveur!
Poste le Saturday 25 November 2006 01:51:27
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Heuu, evidement que la MAC est unique PAR carte reseau,Citation
panthere noire
1.- les adresse mac son unique par carte reseau
mais elle n'est pas unique pour l'ensemble des cartes reseau.
En théorie oui, mais vu que le changement est simple a faire...
comme l'IP, d'ou ma question de depart pourquoi ne pas filtrer sur l'IP. (mais j'ai eu la reponse entre temps)Citation
panthere noire
2.- si tu places une règle qui identifie l'adresse mac du pc, ET que tu change l'adresse PAR ifconfig Alors celle ci NE corespond PLUS a la regle et donc sa ne passe plus!
Il ne fonctionne qu'avec INPUT et PREROUTINGCitation
panthere noire
3.- c'est valable plutot en input.
Pour ton info iptables ne travail qu'au niveau des couches 2 a 3 (avec un peu de 4 pour certains protocoles, via les modules), donc mis a part les protocoles niv. 4 qu'il gere, il ne sait pas travailler au niveau du user.Citation
panthere noire
Ensuite suivant la vertion de iptables tu peut
identifier l'user, par son id donc tu fait ton
script PAR id et donc par utilisateur (uniqument
en output) + l'adresse MAC (en input)
La je crois que tu dois relire son enonce , le firewall ne tourne pas sur la machine du petit frere. De plus si il est assez grand pour pouvoir changer l'IP de sa machine (et qu'il a assez de droit pour le faire), il peut toujours couper le firewall local.Citation
panthere noire
tu peut aussi tester si tu peux identifier l'id du
process du lapplication
Poste le Saturday 25 November 2006 11:13:38
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
panthere noire
Alors iptables est capable d'identifier un user grace aux patch p-o-m (patche o matic) disponible sur le site de netfilter
exemple:
$id=1000
iptables -A OUTPUT -p tcp -m multiport --destination-port 135,137,138,445,5900 -s ip -d ip -m owner --uid-owner $id -j ACCEPT
Donc c'est possible meme en group, et process
ensuite un par feux ne doit pas ce désactiver et seul l'admin doit y avoir accès !
ensuite comme l'exemple ci dessus tu doit filtere dans la mesure du possible ,
En input
le port, l'ip source , l'ip de destination, l'adresse mac ,et le suivi de conaîction,
exemple:
$id=1000
iptables -A OUTPUT -p tcp -m multiport --destination-port 135,137,138,445,5900 -s ip -d ip -m owner --uid-owner $id -j ACCEPT
Donc c'est possible meme en group, et process
ensuite un par feux ne doit pas ce désactiver et seul l'admin doit y avoir accès !
ensuite comme l'exemple ci dessus tu doit filtere dans la mesure du possible ,
En input
le port, l'ip source , l'ip de destination, l'adresse mac ,et le suivi de conaîction,
Poste le Sunday 26 November 2006 03:14:15
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Hooollaaa !!!
Va sur le site de nietfilter pour voir ce qu'est POM, ensuite regarde aussi la doc de owner, et tu verras que ca ne marche pas dans ce cas, et que ca ne travail pas du tout sur la couche 4.
- POM : C'est le systeme de path en general d'iptables. (et donc n'est pas un patch, mais le gestionnaire de patches)
- et l'option owner ne marche que si le firewall est place sur la machine cliente (donc celui du petit frere), en fait ce module regarde simplement le user qu'y veut etablir la session. (il faut reflechir un peu sur la faissabilite de ce genre de truc, et pour ca il faut connaitre un "peu" le principe de IP !!!)
- Tu dis 'ensuite un firewall ne doit pas ce descativer et seul l'admin doit y avoir acces', et bien je te repond c'est comme l'adresse IP de la machine, ca ne se change pas et seul l'admin peut le faire, mais dans ce cas precis, le petit frere sait changer son IP donc il a assez de droit !!!
- Pour le dernier point, nous sommes presque d'accord mis a part sur la MAC adresse. Un firewall doit "normalement" travailler avec adresse source, adresse destination, port destination, etat de la session. La mac est un must.
Va sur le site de nietfilter pour voir ce qu'est POM, ensuite regarde aussi la doc de owner, et tu verras que ca ne marche pas dans ce cas, et que ca ne travail pas du tout sur la couche 4.
- POM : C'est le systeme de path en general d'iptables. (et donc n'est pas un patch, mais le gestionnaire de patches)
- et l'option owner ne marche que si le firewall est place sur la machine cliente (donc celui du petit frere), en fait ce module regarde simplement le user qu'y veut etablir la session. (il faut reflechir un peu sur la faissabilite de ce genre de truc, et pour ca il faut connaitre un "peu" le principe de IP !!!)
- Tu dis 'ensuite un firewall ne doit pas ce descativer et seul l'admin doit y avoir acces', et bien je te repond c'est comme l'adresse IP de la machine, ca ne se change pas et seul l'admin peut le faire, mais dans ce cas precis, le petit frere sait changer son IP donc il a assez de droit !!!
- Pour le dernier point, nous sommes presque d'accord mis a part sur la MAC adresse. Un firewall doit "normalement" travailler avec adresse source, adresse destination, port destination, etat de la session. La mac est un must.
Poste le Sunday 26 November 2006 08:05:05
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
switch21
salut j'ai un pb je veus mettre sur pied un proxy/firewall
un amis m'as donné un script deja fait sur cd et quand je le modifie
pour mon lan, avec VI il m'envoie le message :
E:45 'redonly' option is set (add ! to override) et quand je le fais et le rend executable par chmod 775 firewall et l'execute avec ./firewall il me dis que le fichier n'est pas reconnu ou alors que la commande n'est pas une commande bash svp je voudrai bien comprendre
un amis m'as donné un script deja fait sur cd et quand je le modifie
pour mon lan, avec VI il m'envoie le message :
E:45 'redonly' option is set (add ! to override) et quand je le fais et le rend executable par chmod 775 firewall et l'execute avec ./firewall il me dis que le fichier n'est pas reconnu ou alors que la commande n'est pas une commande bash svp je voudrai bien comprendre
Poste le Thursday 4 January 2007 18:23:43
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Sais-tu seulement ce que tu fais ?
vi te donne un gentil message pour te dire que le fichier est en read only et qu'il te faudra mettre un "!" a la fin de ":wq" lors du exit and save. Et l'autre message te dis simplement que la commande que tu lances n'existe pas.
vi te donne un gentil message pour te dire que le fichier est en read only et qu'il te faudra mettre un "!" a la fin de ":wq" lors du exit and save. Et l'autre message te dis simplement que la commande que tu lances n'existe pas.
Poste le Thursday 4 January 2007 23:30:55
Re: Problème FireWall ... au bord de la déprime
Envoyé par:
chromosome
Mais toi dans le repertoire ou se trouve le script de ton amis, et la fait le chmod.
Et pour etre sur fait un "ls -l" et regarde que les droits sont maintenant corrects.
Et pour etre sur fait un "ls -l" et regarde que les droits sont maintenant corrects.
Poste le Friday 5 January 2007 12:17:08
Ce forum !
Problème FireWall ... au bord de la déprime
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons