Débutant recherche aide désespérémentRésolu/Fermé

Question

Bonjour à toutes et à tous,

Je suis en plein projet de seconde année, qui consiste à protéger un LAN avec machine Linux comprenant la totale:
     - Firewall iptables
     - Proxy web
     - DMZ implémentée

La version de Mandriva utilisée est 2007 Spring, sans interface graphique puisque ça merde sinon -_-

La machine à 3 interfaces:
     - eth0 côté Internet (IP fixe sur le réseau du département)
     - eth1 côte LAN, ip fixe 
     - eth2 côté DMZ, ip fixe

Après un mois de recherches sur le net, de demandes à mes professeurs, je m'en remets à vos compétences car je suis au bord de la crise de nerfs.

PS: Je dois obligatoirement avoir accès à distance à ma machine depuis l'extérieur avec ssh, chose possible... jusqu'à ce que j'essaye de configurer iptables -_-


Problème du jour:

Mon iptables ressemble à ça :

#J'ai tout effacé
iptables -F 
iptables -X

#J'interdit tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Chaîne INPUT:
iptables -A INPUT -p icmp -j ACCEPT                     #ping
iptables -A INPUT -p tcp --dport 80 -j ACCEPT     #http 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT   #https
iptables -A INPUT -p udp --dport 53 -j ACCEPT    #dns 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT     #ssh 

#Chaîne OUTPUT:
iptables -A OUTPUT -p icmp -j ACCEPT                    #ping
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT    #http
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT  #https
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT   #dns

Avec cette config, la machine ne ping rien sur le net, que ce soit avec les IP où avec les noms, mais tout passe si iptables est vide et accepte tout, donc le problème vient de là...
SSH ne passe pas, bref je suis désespéré...

Si des âmes charitables passent par ici, pitié aidez moi ou le 0 coef beaucoup du projet se rapproche à vitesse grand V :) (Projet que je n'ai pas choisi pour ceux qui se poseraient la question)

[Dal] · Answer

Salut,

Je ne suis pas expert iptables, mais pour que ssh fonctionne, il faut autoriser le trafic en sortie aussi.

Vois cette page, une configuration y est détaillée et expliquée pas à pas :

http://christian.caleca.free.fr/netfilter/iptables.htm


Dal

PS: Edit: mon premier post avait collé un mauvais lien (très mauvais, :-D) .. c'est resté en ligne pendant quelques secondes, personne ne l'a vue, hein ? :P

Nirgal · Answer

Salut

Pour avoir accès un minimum au net toi même, il faut que tu autorises les paquets issus de connections que tu as initialisées:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Sinon, le filtrage en sortie n'est à mon avis pas bien utile Je serai toi, je remplacerai
iptables -P OUTPUT DROP
par
iptables -P OUTPUT ACCEPT
et je supprimerais toutes les règles de types OUTPUT.
car là tu peux même pas faire de ssh vers l'extérieur ni synchroniser l'heure (ntp) ni pas mal de trucs... :/

Enfin, il est vivement conseillé de pas faire de filtrage sur loopback:
iptables -A INPUT -i lo -j ACCEPT

Bon courage !

Linux_Overdose · Answer

Merci à vous deux, ssh marche :D je n'ai plus qu'à réussir à lancer /etc/sysconfig/iptables au démarrage et tout ira bien.

Un grand merci, et sûrement à très bientôt pour de nouvelles questions :)

Débutant recherche aide désespérément

3 réponses

Discussions similaires

Newsletters