Bonjours, je souheterais metre en place chez moi une passerelle sous debian . pouvez vous m’aider ??

on va procéder par etapes :

1) monter la passerelle

Internet -------- eth0 pc ETH1 ----------Switch--------PC1 192.168.3.10
88.x.x.x.x. dhcp 80.xx. 192.168.3.254 |-----------PC2 192.168.3.11

2) ouvrir des ports pour accéder a mes machines de l’extérieur

En suite je voudrais bloquer tout les ports en entrée (internet) sauf le port 80 sur la machine 192.1683.254 et le port du TSE 2374 sur la machine PC 192.168.3.10. (De l’extérieur, que l’on puisse entrez sur ces deux machines)

3) interdire a mes clients de ce connecté en SSH sauf 2 machines (sortie internet)

je veux bloquer le port du FTP et VPN, et du SSH pour toutes les machines de mon réseaux sauf le serveur et pc1
(PC1 peut ce connecter en VPN ET SSH, PC2 il ne peut pas)

Oui je voit bien le tout avec Iptables, tu as quelques notions ? ? sinon sa va être dur, à moins que quelqu’un soit extremement généreux et te ponde le script tout prêt

Sinon je ne saurait trop te conseiller de regarder un peu les docs d’iptables !

Le but de cette manipulation, c’est d’écouter la conversation et d’apprendre …
donnez moi des info et non la solution
On va procéder en étapes

etape 1 , comment fait-on pour monter une passerelle entre mes deux carte reseaux ???

±---------------+
| 192.168.3.0/24 | ------ eth1 [linux debian] eth0 -------- | Internet |
±---------------+

J’ais lu des chausses, qui faillais forwarder le port.
Ça veut dire quoi ???

[quote=“fabdunet1313”]Le but de cette manipulation, c’est d’écouter la conversation et d’apprendre …
donnez moi des info et non la solution
On va procéder en étapes

etape 1 , comment fait-on pour monter une passerelle entre mes deux carte reseaux ???

±---------------+
| 192.168.3.0/24 | ------ eth1 [linux debian] eth0 -------- | Internet |
±---------------+

J’ais lu des chausses, qui faillais forwarder le port.
Ça veut dire quoi ???[/quote]

J’adore ta façon de faire, vite fait tu tente le coup que sait tu des règles de forward exactement ?

Ce que tu n’explique pas c’est que toujours pour ton projet ( je présume ) tu veut monter une passerelle avec l’aide de deux cartes ethernet l’une jouant le rôle de lien avec l’extérieur et l’autre le lien avec l’intérieur.

Donc grosso modo de cette façon tu va devoir “forwader” le trafic voulu de eth0 vers eth1 et inversement.

Pour commencer à te familiariser avec Iptable commence par écrire un script qui interdit absolument tout, ensuite tu ouvre patiemment chaque port dont tu as besoin et seulement après tu redirige les flux vers ta seconde interface.*
Tu as pas mal de documentation entre le wiki officiel et le notre

Pose ici même les base de ton travail et l’on corrigera ou améliorera ton travail

trouvé , ma passerelle fonctionne

[quote]echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 88.26.xx.xxx [/quote]

par contre , j’ai tester ce que tu ma dit ,
bloquer tout , et ouvrir par la suite ceux que j’ai besoins , et ça marche pas .

[quote]iptables -F
iptables -t nat -F
iptables -X
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 88.26.xx.xxx [/quote]

la , je crois , que tout mes port sont ouvert , et c’est dangereux

j’ai trouver une hautre solution pour monter une paserelle

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE

comment fait t’on pour fermer toute les table IPTABLE et ouvrir le ssh et le port 80 sur le reseaux local eth1 ???

[quote=“Clochette”][quote=“fabdunet1313”]Le but de cette manipulation, c’est d’écouter la conversation et d’apprendre …
donnez moi des info et non la solution
On va procéder en étapes

etape 1 , comment fait-on pour monter une passerelle entre mes deux carte reseaux ???

±---------------+
| 192.168.3.0/24 | ------ eth1 [linux debian] eth0 -------- | Internet |
±---------------+

J’ais lu des chausses, qui faillais forwarder le port.
Ça veut dire quoi ???[/quote]

J’adore ta façon de faire, vite fait tu tente le coup que sait tu des règles de forward exactement ?

Ce que tu n’explique pas c’est que toujours pour ton projet ( je présume ) tu veut monter une passerelle avec l’aide de deux cartes ethernet l’une jouant le rôle de lien avec l’extérieur et l’autre le lien avec l’intérieur.

Donc grosso modo de cette façon tu va devoir “forwader” le trafic voulu de eth0 vers eth1 et inversement.

Pour commencer à te familiariser avec Iptable commence par écrire un script qui interdit absolument tout, ensuite tu ouvre patiemment chaque port dont tu as besoin et seulement après tu redirige les flux vers ta seconde interface.*
Tu as pas mal de documentation entre le wiki officiel et le notre

Pose ici même les base de ton travail et l’on corrigera ou améliorera ton travail [/quote]

Voici mon SCRIPT qui ne marche pas avec des comentaire sur ceux que j’ais fait

[code]### PURGE DES REGLES ###

iptables -t filter -F INPUT
iptables -t filter -F FORWARD
iptables -t filter -F OUTPUT

iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -t nat -F POSTROUTING

FIN PURGE DES REGLES

DEFINITION STRATEGIES PAR DEFAUT

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

FIN DEFIFITION STRATEGIES PAR DEFAUT

###je monte ma paserelle en fesant du nat
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE

[/code]

ça ne fonctionne pas

comment bloquer le port 22 sur eth1 avec iptable ???

iptables -t filter -P OUTPUT -i eth1--protocol tcp --source-port 22 --jump DROP iptables -t filter -P OUTPUT -i eth1--protocol tcp --source-port 22 -i lo -j DROP

il me repond

ort 22 --jump DROP
iptables v1.4.8: -X requires a chain and a policy
Try `iptables -h’ or ‘iptables --help’ for more information.

aidez moi SVP

je voudrais tout bloquer les port de eth1 , et les ouvrir un par un , par example le port 22 sur 192.168.3.3 et le port 21 sur 127.0.0.1

Aidez moi SVP

Il faut que tu comprenne un concepte, si tu veut que ta passrelle et ton réseau soit vraiment sécurisée, le principe avec iptables n’est pas de bloquer le trafic que tu veut interdire, mais plutot de bloquer tout et de n’autoriser ( via des règles ) que le trafic que tu veut , soit pour l’ensemble de ton réseau, soit seulement pour certaines machines, dans les docs tu trouvera très facilement j’en suis certains les premières règles de permettant tout d’abord de tout bloquer, et ensuite les règle te permettant d’autoriser le forward, et d’executer le routage du paquet vers la machine voulu. Aller je suis dans un bon jour , je te donne un exemple.
Tu veut autoriser le forward du port 22 en entrée sur ta carte réseau WAN vers la machine 192.168.0.11 sur ta carte LAN :
Ici dans l’exemple ETH0 sera ta carte WAN et eth1 sera ton LAN

Sa c’est la règle qui va autoriser le forward, mais pour l’instant aucune règle ne dit à netfilter quoi faire avec se paquet à destination du port 22 qui arrive sur ton wan, c’est ce que va faire cette règle :

Avec cette règle on dit à netfilter de balancer le paquet à destination du port 22 sur une ip bien défini ( la machine en question ), qui du coup est autorisée par la 1ère règle.

Svp les barbus corrigez moi sur la syntaxe des règles j’ai peut-être ( sûrement ) fait un oubli sa fait longtemps que j’ai pas fait d’iptables et je viens de faire sa de tête. En tout cas l’idée est la !

Ho my gode ! MERCI

donc ci je presume , je ferme tout mes port , et j’ouvre ceux dont j’ai besoins .

donc théoriquement je fait un

iptables -A INPUT -m state --state NEW -j DROP

ça devrais marcher ,
je vais testé

hé non !!

comment fait t’on pour tout fermer , et ouvrir un port ???

en tout cas pas comme ça

[quote]root@Passerelle:~# iptables -A INPUT -m state --state NEW -j DROP
root@Passerelle:~# iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT[/quote]

ci je etrouve a faire cella , j’ai finis

INPUT = en entrée sur ta machine, si ta machine ne sert a faire que passerelle tu ne doit jamais avoir a utiliser ce parametre ( sauf pour dropd tout ce qui est en entrée justement donc tout bloquer, aussi je pense que tu peut virer le --state new )

impecable
Merci

Et pour bloquer les port en sortie de mes client vers le net ???
adméton , je veux interdire a mes client d’utiliser le port 22 et 21 , comment faire ???

quelle regle IPTABLE je doit entré ???
la je sais pas du tout je bloque

Tu ne veux leur bloquer que le port 22 et 21 ou tu veut tout leurs bloquer sauf certains ports ?

Sinon très simple, déjà pour que tes clients puissent accéder au net et recevoir les paquets en retour :

$IPTABLES -t nat -A PREROUTING -o eth0 -j SNAT --to-source "ip-de-ta-carte-réseaueth0" $IPTABLES -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
La première règle dit que tous les paquets qui sortent sur le net doivent avoir comme ip source l’ip publique de la carte réseau prévue à cet effet, logique sinon les paquets ne seront jamais comment revenir sur ta passerelle une fois perdu sur la toile.
La 2ème autorise tes machines clients à recevoir les réponses au paquets qu’ils ont envoyer sur le net !

Ensuite, voici la règle qui va permettre à tes clients d’accéder au net sur les ports que tu as CHOISIS

Par exemple si tu veut que tes machines n’est accès qu’aux ports http, https, mails, et bien-sur dns :

$IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport "80 443 25 110 143" -j ACCEPT $IPTABLES -A FORWARD -i eth1 -o eth0 -p udp --dport "53" -j ACCEPT

pour le protole tcp on autorise dans l’ordre

le http et https : 80 et 443
le smtp le pop et l’imap : 25 110 143

en udp on autorise le dns sur le port 53

Je t’invite fortement à lire les docs iptables pour bien comprendre ce que font ces règles, c’est très important car sa va te donner quelques compétences réseaux si tu ne les as pas déjà et 2 sa te permettra de te dépanner très facilement si tu as un paquet qui ne va pas ou il est censé aller

Je t’invite aussi à vérifier la syntaxe des règles que je t’ai donner, il se peut qu’elle ne soit pas exactes étant donner que j’ai fait tout de tête.

Enfin une fois que tu as réussis à faire marcher le bouzins, colle moi ici ton script iptables en entier histoire que je vois un peu si sa colle niveau sécurité.

Sinon, il y a un truc pas mal, ça s’appelle fwbuilder…

je n’entends pas par la qu’apprendre le fonctionnement d’iptables ne sert à rien. Surtout que si on veut faire un truc propre, il faut garder en tête le fonctionnement d’iptables…