Débutant recherche aide désespérément
Résolu
Linux_Overdose
Messages postés
26
Date d'inscription
Statut
Membre
Dernière intervention
-
Linux_Overdose Messages postés 26 Date d'inscription Statut Membre Dernière intervention -
Linux_Overdose Messages postés 26 Date d'inscription Statut Membre Dernière intervention -
Bonjour à toutes et à tous,
Je suis en plein projet de seconde année, qui consiste à protéger un LAN avec machine Linux comprenant la totale:
- Firewall iptables
- Proxy web
- DMZ implémentée
La version de Mandriva utilisée est 2007 Spring, sans interface graphique puisque ça merde sinon -_-
La machine à 3 interfaces:
- eth0 côté Internet (IP fixe sur le réseau du département)
- eth1 côte LAN, ip fixe
- eth2 côté DMZ, ip fixe
Après un mois de recherches sur le net, de demandes à mes professeurs, je m'en remets à vos compétences car je suis au bord de la crise de nerfs.
PS: Je dois obligatoirement avoir accès à distance à ma machine depuis l'extérieur avec ssh, chose possible... jusqu'à ce que j'essaye de configurer iptables -_-
Problème du jour:
Mon iptables ressemble à ça :
#J'ai tout effacé
iptables -F
iptables -X
#J'interdit tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Chaîne INPUT:
iptables -A INPUT -p icmp -j ACCEPT #ping
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #https
iptables -A INPUT -p udp --dport 53 -j ACCEPT #dns
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
#Chaîne OUTPUT:
iptables -A OUTPUT -p icmp -j ACCEPT #ping
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #http
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT #https
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #dns
Avec cette config, la machine ne ping rien sur le net, que ce soit avec les IP où avec les noms, mais tout passe si iptables est vide et accepte tout, donc le problème vient de là...
SSH ne passe pas, bref je suis désespéré...
Si des âmes charitables passent par ici, pitié aidez moi ou le 0 coef beaucoup du projet se rapproche à vitesse grand V :) (Projet que je n'ai pas choisi pour ceux qui se poseraient la question)
Je suis en plein projet de seconde année, qui consiste à protéger un LAN avec machine Linux comprenant la totale:
- Firewall iptables
- Proxy web
- DMZ implémentée
La version de Mandriva utilisée est 2007 Spring, sans interface graphique puisque ça merde sinon -_-
La machine à 3 interfaces:
- eth0 côté Internet (IP fixe sur le réseau du département)
- eth1 côte LAN, ip fixe
- eth2 côté DMZ, ip fixe
Après un mois de recherches sur le net, de demandes à mes professeurs, je m'en remets à vos compétences car je suis au bord de la crise de nerfs.
PS: Je dois obligatoirement avoir accès à distance à ma machine depuis l'extérieur avec ssh, chose possible... jusqu'à ce que j'essaye de configurer iptables -_-
Problème du jour:
Mon iptables ressemble à ça :
#J'ai tout effacé
iptables -F
iptables -X
#J'interdit tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Chaîne INPUT:
iptables -A INPUT -p icmp -j ACCEPT #ping
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #https
iptables -A INPUT -p udp --dport 53 -j ACCEPT #dns
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
#Chaîne OUTPUT:
iptables -A OUTPUT -p icmp -j ACCEPT #ping
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #http
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT #https
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #dns
Avec cette config, la machine ne ping rien sur le net, que ce soit avec les IP où avec les noms, mais tout passe si iptables est vide et accepte tout, donc le problème vient de là...
SSH ne passe pas, bref je suis désespéré...
Si des âmes charitables passent par ici, pitié aidez moi ou le 0 coef beaucoup du projet se rapproche à vitesse grand V :) (Projet que je n'ai pas choisi pour ceux qui se poseraient la question)
A voir également:
- Débutant recherche aide désespérément
- Recherche automatique des chaînes ne fonctionne pas - Guide
- Rechercher ou entrer l'adresse mm - recherche google - Guide
- Recherche photo - Guide
- Logiciel montage vidéo débutant - Guide
- Je recherche une chanson - Guide
3 réponses
Salut,
Je ne suis pas expert iptables, mais pour que ssh fonctionne, il faut autoriser le trafic en sortie aussi.
Vois cette page, une configuration y est détaillée et expliquée pas à pas :
http://christian.caleca.free.fr/netfilter/iptables.htm
Dal
PS: Edit: mon premier post avait collé un mauvais lien (très mauvais, :-D) .. c'est resté en ligne pendant quelques secondes, personne ne l'a vue, hein ? :P
Je ne suis pas expert iptables, mais pour que ssh fonctionne, il faut autoriser le trafic en sortie aussi.
Vois cette page, une configuration y est détaillée et expliquée pas à pas :
http://christian.caleca.free.fr/netfilter/iptables.htm
Dal
PS: Edit: mon premier post avait collé un mauvais lien (très mauvais, :-D) .. c'est resté en ligne pendant quelques secondes, personne ne l'a vue, hein ? :P
Salut
Pour avoir accès un minimum au net toi même, il faut que tu autorises les paquets issus de connections que tu as initialisées:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sinon, le filtrage en sortie n'est à mon avis pas bien utile Je serai toi, je remplacerai
iptables -P OUTPUT DROP
par
iptables -P OUTPUT ACCEPT
et je supprimerais toutes les règles de types OUTPUT.
car là tu peux même pas faire de ssh vers l'extérieur ni synchroniser l'heure (ntp) ni pas mal de trucs... :/
Enfin, il est vivement conseillé de pas faire de filtrage sur loopback:
iptables -A INPUT -i lo -j ACCEPT
Bon courage !
Pour avoir accès un minimum au net toi même, il faut que tu autorises les paquets issus de connections que tu as initialisées:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sinon, le filtrage en sortie n'est à mon avis pas bien utile Je serai toi, je remplacerai
iptables -P OUTPUT DROP
par
iptables -P OUTPUT ACCEPT
et je supprimerais toutes les règles de types OUTPUT.
car là tu peux même pas faire de ssh vers l'extérieur ni synchroniser l'heure (ntp) ni pas mal de trucs... :/
Enfin, il est vivement conseillé de pas faire de filtrage sur loopback:
iptables -A INPUT -i lo -j ACCEPT
Bon courage !