Bonsoir, je n’arrive pas à autoriser le ping via iptables .
Voici le schéma. J’ai deux serveurs de backups qui font aussi du monitoring, des serveurs de production, des serveurs de monitoring proposés par mon prestataire
La règle Iptables que je veux mettre c’est pour mes serveurs de backup en gros je veux lui dire :
- n’autorise que les serveurs de backup et de monitoring pour le ping sur toi
- autorise mon ip pour le ssh
- fais toi même du monitoring 22,80 et ping sur les serveurs
mais quand je met en place mes règles iptables le serveur de monitoring détecte que ca ping pas ! et quand je veux pinguer ca me laisse pas le faire.
Voici mon script avec ip anonymisée
PS : vous verrez que la connexion sortante en http et https et udp 53 est commentée c’est parece que j’ai deux versions de mon parefeu et que je n’utilise la version “souple” que lorsque je suis connecté sur mon serveur et que j’ai besoin de mettre à jour etc.
L’utilisation en mode habituel (restreint) c’est juste pour faire du monitoring et du rsync.
> #!/bin/bash
> # DESCRIPTION : Parefeu de type restrictif !
> #initialiser script de nettoyage du parefeu
> /etc/init.d/init_parefeu clean
> ############################ INPUT ############################
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> ###
> #### SSH ####
> #Plage IP personnelle
> iptables -A INPUT -p tcp -s $IP_PERSO --dport 22 -j ACCEPT
> ### Monitoring SSH ###
> #IP du monitoring
> iptables -A INPUT -p tcp -s $IP1 --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp -s $IP2 --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp -s $IP3 --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp -s $IP4 --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp -s $IP5 --dport 22 -j ACCEPT
> #IP serveur de backup
> iptables -A INPUT -p tcp -s $IPBACKUP --dport 22 -j ACCEPT
> ### Monitoring Ping ###
> #Ip du monitoring OVH
> iptables -A INPUT -p icmp --icmp-type 8 -s $IP1 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -s $IP2 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -s $IP3 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -s $IP4 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -s $IP5 -j ACCEPT
> #IP serveur de backup
> iptables -A INPUT -p icmp --icmp-type 8 -s $IPBACKUP -j ACCEPT
> #### PING MONITORING réponse au ping initié
> #Serveur de backup
> iptables -A INPUT -p icmp --icmp-type 0 -s $IPBACKUP -j ACCEPT
> #Serveurs de production
> iptables -A OUTPUT -p icmp --icmp-type 0 -s xxxx -j ACCEPT
> ###
> iptables -P INPUT DROP
> ############################ OUTPUT ############################
> iptables -A OUTPUT -o lo -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> ###
> #### SERVEUR DE NOM
> #iptables -A OUTPUT -p udp -d xxxx --dport 53 -j ACCEPT
> #### CONNEXIONS SORTANTES NMAP + MISE A JOUR ETC..
> #iptables -A OUTPUT -p tcp --dport http -j ACCEPT
> #iptables -A OUTPUT -p tcp --dport https -j ACCEPT
> #### SSH BACKUP + MONITORING ####
> #Serveur de backup
> iptables -A OUTPUT -d $IPBACKUP -p tcp --dport 22 -j ACCEPT
> #Serveurs de production
> iptables -A OUTPUT -d xxxx -p tcp --dport 22 -j ACCEPT
> #### APACHE MONITORING ####
> #Serveurs de production
> iptables -A OUTPUT -d xxxx -p tcp --dport 80 -j ACCEPT
> ### PING MONITORING réponse aux demande de ping reçu
> #Ip du monitoring
> iptables -A INPUT -p icmp --icmp-type 0 -d $IP1 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 0 -d $IP2 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 0 -d $IP3 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 0 -d $IP4 -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 0 -d $IP5 -j ACCEPT
> #IP Serveur de backup
> iptables -A INPUT -p icmp --icmp-type 0 -d $IPBACKUP -j ACCEPT
> #### PING MONITORING initiés
> #Serveur de bakcup
> iptables -A INPUT -p icmp --icmp-type 8 -d $IPBACKUP -j ACCEPT
> #Serveurs de production
> iptables -A OUTPUT -p icmp --icmp-type 8 -d xxxx -j ACCEPT
> ##
> iptables -P OUTPUT DROP
> ############################ FORWARD ############################
> iptables -P FORWARD DROP
> ############################ FIN ############################
> echo 'Parefeu "restreint" configuré'
> #initialiser script automatisation du parefeu
> /etc/init.d/init_parefeu restart