Iptable

Support Debian
#1

Voici mon architecture réseaux de mon client.

Donc le serveur linux sert à distribuer internet grâce au proxy squid squid qui tourne dans la société.
En clair, ci on coupe le serveur linux, il y à plu d’internet. CE QUI YA DE NORMAL

Le serveur Windows à pour but de faire tourner une application réseaux de comptabilité bien spécifique au saint de la société

Donc tout fonctionne correctement.

Sur mon linux, au démarrage, il y a ce scripte iptables qui s’exécute au démarrage de l’OS.

[quote]#!/bin/bash -x
##############################################################
SSH
##############################################################

PSSH="22"
NTEN="04"
DTEN="60"
NAME=“SSH”

iptables -F SSH_Except
iptables -X SSH_Except
iptables -N SSH_Except

iptables -A INPUT -p tcp --dport $PSSH -m state --state NEW -m recent --set --name $NAME

iptables -A INPUT -p tcp --dport $PSSH -m state --state NEW -j SSH_Except

Journalisation des attaques.

iptables -A INPUT -p tcp --dport $PSSH -m state --state NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j LOG --log-prefix 'Attaque possible à SSH : ’

Blocage des attaques.

iptables -A INPUT -p tcp --dport $PSSH -m state --state NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j DROP

te NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j DROP[/quote]

Ce scripte sert à bloquer le port SSH sur une durée de 60 sec au bout de 3 tentatives de connexion.

Je voudrais faire pareille avec le port du TSE de Windows qui est le 3389 ce trouvant sur la machine serveur eth1

Comment faire, car je vous avoue que j’y est passé une journée entière, et je n’arrive pas ???

J’ais penser ce week-end à faire un pont réseaux entre eth0 et eth1, donc le pont réseaux me créer une interface pont1, et y établir ces règle la dessus.

Qu’esse que vous en pensez ???

#2

Donc pour créer un pont réseaux , c’est pas compliquer

[quote]aptitude install bridge-utils

ifconfig eth0 0.0.0.0 promisc
ifconfig eth1 0.0.0.0 promisc

brctl addbr mon-pont

brctl addif mon-pont eth0
brctl addif mon-pont eth1

brctl sethello mon-pont 1
brctl setfd mon-pont 4

ifconfig mon-pont 192.168.1.2 netmask 255.255.255.0[/quote]

ci je créer ma regle iptable sur mon interface mon-pont c’est à dire

[quote]
##############################################################
TSE
##############################################################

PSSH="3389"
NTEN="04"
DTEN="60"
NAME=“SSH”

iptables -F SSH_Except
iptables -X SSH_Except
iptables -N SSH_Except

iptables -I mon-pont -A INPUT -p tcp --dport $PSSH -m state --state NEW -m recent --set --name $NAME

iptables -I mon-pont -A INPUT -p tcp --dport $PSSH -m state --state NEW -j SSH_Except

Journalisation des attaques.

iptables -I mon-pont -A INPUT -i -p tcp --dport $PSSH -m state --state NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j LOG --log-prefix 'Attaque possible à SSH : ’

Blocage des attaques.

iptables -I mon-pont -A INPUT -p tcp --dport $PSSH -m state --state NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j DROP

te NEW -m recent --update --seconds $DTEN --hitcount $NTEN --rttl --name $NAME -j DROP[/quote]

#3

[size=200]ça fonctionne pas [/size]

aider moi SVP
[size=200] :119 [/size]

#4

[quote=“fabdunet1313”][size=200]ça fonctionne pas [/size]

aider moi SVP
[size=200] :119 [/size][/quote]

Tu mélange tout, absolument tout… :119

Le “serveur” windows à son propre pare-feu , c’est largement suffisant.
Tu autorise ton réseau à y accéder et c’est terminé.

#5

Non, ce n’est pas ça ce que je veux faire.
Je ne veux que mon serveur linux face office de passerelle. Un peut comme un pare feux.

Je ne peux pas établir un iptables sur mon serveur 2003 ; ci non ca serrais résolu et trop facile

#6

Re,
Vu ton schéma c’est impossible…
Tu vois bien que le client est connecté sur le même réseau que le Windows…

#7

Tu as raisons en fait, c’est le serveur TSE qui fait office de DHCP, et la free box, désactiver et tout manuel.

192.168.1.0 Pour eth0
192.168.3.0 Pour eth1

En tout cas, c’est installer comme ca chez mon client, et ca fonctionne.

#8

[quote=“lol”]Vu ton schéma c’est impossible…
Tu vois bien que le client est connecté sur le même réseau que le Windows…[/quote]
Ben, tu peux « firewaller » les attaques extérieures vers le serveur win (ou vers d’autres machines). Mais le serveur debian ne pourra pas protéger le serveur windows d’attaques venant du réseau local. Là il faut jouer avec le firewall du serveur windows. Mais rien n’empêche de faire les deux.

Perso, pour faire une passerelle d’accès internet, je n’utilise pas brctl. J’active simplement le partage de connexions :

et gère les règles dans la cible FORWARD d’iptables.

Même si ça doit être aussi faisable en faisant un bridge.

#9

Ou alors investir dans un petit switch de niveau 3, créer 3 vlan dessus :
un sur lequel sont connectés les clients
un autre le(s) serveur(s) locaux
un dernier étant le vlan internet sur lequel est connecté le routeur de sortie

On monte une troisième patte sur le serveur debian, une connectée sur chaque Vlan, avec des règles de forward iptables de facon à ce que chacune d’elle soit la passerelle d’un vlan à l’autre.

:mrgreen:

Sinon, tu peux “simuler” le switch de niveau 3 par 3 petits switchs classiques indépendants connectés sur chacune des pattes du pare feu. Moins joli, mais moins cher. :017

Dans les 2 cas l’inconvénient est que le pare feu est la clef de voute de l’infrastructure, et que s’il lache, plus aucun “vlan” ne peut dialoguer avec les autres :079

Humm ok, je m’egare :117
Hop, plus la :arrow_right:

#10

Linux IPCOP sourceforge.net/apps/trac/ipcop/wiki

#11

ipcop MERCI