Script Iptables /probleme connexion internet
manager30
Messages postés
114
Statut
Membre
-
manager30 Messages postés 114 Statut Membre -
manager30 Messages postés 114 Statut Membre -
Bonjour,
J'ai un probleme , car lorsque j'active mon script iptables , il m'est impossible d'acceder à internet.
voila le schéma réseau actuel de l'entreprise
LAN+FW------switch-----livebox---NET
seul eth0 est réliée au switch
eth1 n'est pas cablée
voici le schéma futur
LAN---switch----FW----Livebox----NET
eth0 sera coté livebox
eth1 coté LAN
Voici le script ci-dessous
#!/bin/sh
# J'autorise les paquets a etre envoyés dans la chaien FORWARD
echo 1 >/proc/sys/net/ipv4/ip_forward
#remise a zéro des regles de filtrage
iptables -F
iptables -t nat -F
# Début des regles de firewalling
# début des politiques par défaut
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées a etre forwardées soient bloquées par défaut
iptables -P FORWARD DROP
# Je veux que les connexions sortantes soient aceptées par défaut
iptables -P OUTPUT ACCEPT
# Fin des politiques par défaut
# J'autorise la boucle locale
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT
# Je considere que mon réseau local est sur
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT
# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le net sont aceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACEPT
# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.
iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#LOG tout ce qui ne passe pas
iptables -A INTPUT -j LOG --log-level debug --log-prefix "firewall - input DROP" --log-ip-options -m limit --limit 3/s
iptables -A INPUT -j DROP
iptables -A OUTPUT -j LOG --log-level debug --log-prefix "firewall - output DROP" --log-ip-options -m limit --limit 3/s
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j LOG --log-level debug --log-prefix "firewall - forward DROP" --log-ip-options -m limit --limit 3/s
iptables -A FORWARD -j DROP
MERCI Pour ceux qui voudront bien répondre.
J'ai un probleme , car lorsque j'active mon script iptables , il m'est impossible d'acceder à internet.
voila le schéma réseau actuel de l'entreprise
LAN+FW------switch-----livebox---NET
seul eth0 est réliée au switch
eth1 n'est pas cablée
voici le schéma futur
LAN---switch----FW----Livebox----NET
eth0 sera coté livebox
eth1 coté LAN
Voici le script ci-dessous
#!/bin/sh
# J'autorise les paquets a etre envoyés dans la chaien FORWARD
echo 1 >/proc/sys/net/ipv4/ip_forward
#remise a zéro des regles de filtrage
iptables -F
iptables -t nat -F
# Début des regles de firewalling
# début des politiques par défaut
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées a etre forwardées soient bloquées par défaut
iptables -P FORWARD DROP
# Je veux que les connexions sortantes soient aceptées par défaut
iptables -P OUTPUT ACCEPT
# Fin des politiques par défaut
# J'autorise la boucle locale
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT
# Je considere que mon réseau local est sur
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT
# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le net sont aceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACEPT
# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.
iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#LOG tout ce qui ne passe pas
iptables -A INTPUT -j LOG --log-level debug --log-prefix "firewall - input DROP" --log-ip-options -m limit --limit 3/s
iptables -A INPUT -j DROP
iptables -A OUTPUT -j LOG --log-level debug --log-prefix "firewall - output DROP" --log-ip-options -m limit --limit 3/s
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j LOG --log-level debug --log-prefix "firewall - forward DROP" --log-ip-options -m limit --limit 3/s
iptables -A FORWARD -j DROP
MERCI Pour ceux qui voudront bien répondre.
A voir également:
- Script Iptables /probleme connexion internet
- Gmail connexion - Guide
- D'où peut venir un problème de connexion internet sur un ordinateur ? - Guide
- Script vidéo youtube - Guide
- Arcep ma connexion internet - Accueil - Box & Connexion Internet
- Comment savoir si quelqu'un utilise ma connexion internet - Guide
5 réponses
Déjà le schéma à pas l'air de valoir grand chose je doute que tout soit en ligne. Et puis eth0/1 c'est sur la machine qui a le Netfilter ?
La RAZ des règles je me demande si il ne faut pas recommencer (ajouter) avec l'option X aussi
Les politiques par défaut OK
La boucle local je vois pas de problème sauf les interfaces peut-être (mais je comprend pas le schéma du réseau moi j'aurais fait un schéma comme ça on m'aurait traité)
Y'a un accept qui est mal écrit...
Et le log donne quoi alors ?
La RAZ des règles je me demande si il ne faut pas recommencer (ajouter) avec l'option X aussi
Les politiques par défaut OK
La boucle local je vois pas de problème sauf les interfaces peut-être (mais je comprend pas le schéma du réseau moi j'aurais fait un schéma comme ça on m'aurait traité)
Y'a un accept qui est mal écrit...
Et le log donne quoi alors ?
Essaye de lister au fur et à mesure les résultat des commandes pour voir si une commande n'a pas une influence sur les précédentes et efface les anciens....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
MERCI pour vos réponses en fait j'arrive maintenant a me connecter au NET mais mon script a changé!
Si vous pouviez me dire ce que vous en pensez ce serait sympa!
Quant au schéma réseau:
LAN------- eth1 FW eth0 -------------LIVEBOX ------ NET
et voici le script iptables (laissez vos avis)
#!/bin/sh
# J'autorise les paquets a etre envoyés dans la chaien FORWARD
echo 1 >/proc/sys/net/ipv4/ip_forward
# Flush all tables
iptables -F
# Set default policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat )
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# J'autorise la boucle locale
#iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus)
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# Je considere que mon réseau local est sur
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT
# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le net sont aceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.
iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Si vous pouviez me dire ce que vous en pensez ce serait sympa!
Quant au schéma réseau:
LAN------- eth1 FW eth0 -------------LIVEBOX ------ NET
et voici le script iptables (laissez vos avis)
#!/bin/sh
# J'autorise les paquets a etre envoyés dans la chaien FORWARD
echo 1 >/proc/sys/net/ipv4/ip_forward
# Flush all tables
iptables -F
# Set default policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat )
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# J'autorise la boucle locale
#iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus)
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# Je considere que mon réseau local est sur
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT
# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le net sont aceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.
iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
