tag:linuxfr.org,2005:/users/choukette/postsLinuxFr.org : les publications de Alexandre2007-07-05T18:57:59+02:00/favicon.pngtag:linuxfr.org,2005:Post/224932007-07-05T18:57:59+02:002007-07-05T18:57:59+02:00Problème de nat avec netfilterBonjour à tous<br />
<br />
Voila mon problème. J'utilise quotidiennement deux machines GNU/Linux (Mon desktop et mon laptop) mais suite à la destruction de mon switch (Foudre ?) il m'est depuis impossible de les connecter à internet simultanément sans faire du nat. Cependant, mes connaissances sur Iptables/Netfilter se limitent au filtrage.<br />
<br />
Mon desktop possède 3 interfaces réseau. <br />
Une est utilisée pour se connecter sur la box de mon FAI, les deux autres sont, pour le moment, non utilisées.<br />
J'aurais aimé configurer le réseau de la sorte : <br />
<pre><br />
Laptop<br />
|<br />
|<br />
Desktop<br />
| |<br />
X |_____________ BOX _____( Internet )<br />
</pre><br />
Le X est la 3ème interface qui ne serait pas utilisée dans ce cas.<br />
<br />
IP Desktop : 192.168.1.20 , 192.168.1.21 et 192.168.1.22<br />
IP Laptop : 192.168.1.30<br />
IP Box : 192.168.1.254<br />
<br />
Ces deux machines utilisent des noyaux 2.6 et netfilter fonctionne dejà comme filtre sur chacune d'elle.<br />
<br />
Y aurait-il une âme charitable pouvant m'expliquer la marche à suivre car toutes les docs que j'ai consultées étaient ou trop générales, ou trop concrètes et pas applicable sur mon réseau.<br />
<br />
Merci d'avance à vous tous.<br />
Alex<div><a href="https://linuxfr.org/forums/linux-noyau/posts/probl%C3%A8me-de-nat-avec-netfilter.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/77150/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-noyau/posts/probl%C3%A8me-de-nat-avec-netfilter#comments">ouvrir dans le navigateur</a>
</p>
Alexandrehttps://linuxfr.org/nodes/77150/comments.atomtag:linuxfr.org,2005:Post/207752007-02-16T14:21:31+01:002007-02-16T14:21:31+01:00Demande d'avis sur une config iptables.Bonsoir. <br />
Avant tout, j'espère ne pas m'être trompé de rubrique.<br />
Ceci est un Copier/coller d'un de mes posts sur le forum de framasoft. Je me permet de le remettre ici car je n'ai reçu que deux réponses, toutes deux opposées l'une à l'autre.<br />
<br />
Merci de votre aide.<br />
<br />
J'aurais voulu avoir l'avis de certains sur ma config iptable au niveau sécurité. Comme iptables n'est pas super simple et que je ne suis pas professionnel des pare-feux, j'ai des doutes sur mon filtrage.<br />
Je suis sous Ubuntu 6.06 server noyau 2.6.15-27-686 avec fluxbox en window manager (je trouve gnome un peu lent)<br />
<br />
Autres précisions, c'est un ordinateur personnel (portable), pas le serveur de la DGSE contenant les nom des agents secrets. (Nan mais je préfère préciser ^^)<br />
Par contre, ça doit être assez costaud pour tenir quand je me connecte dans des endroits pas trés sûrs (LAN's ?). Le SSH à un password solide (8 chiffes lettres majuscules/minuscules) et pas le login en root. Je suis le seul utilisateur.<br />
J'espère avoir assez détaillé.<br />
Merci d'avance.<br />
<br />
:PREROUTING ACCEPT [12:2602]<br />
:POSTROUTING ACCEPT [5:326]<br />
:OUTPUT ACCEPT [5:326]<br />
COMMIT<br />
<br />
*mangle<br />
:PREROUTING ACCEPT [169:31249]<br />
:INPUT ACCEPT [169:31249]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [176:54645]<br />
:POSTROUTING ACCEPT [176:54645]<br />
COMMIT<br />
<br />
:INPUT DROP [11:2554] <strong>//Par défaut : Rejeter tout le trafic entrant destiné à ma machine</strong><br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [176:54645] <strong>//Par défaut : Autoriser tout le trafic sortant de ma machine et venant d'elle</strong><br />
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT <strong>// Serveur SSH</strong><br />
-A INPUT -p udp -m udp --sport 53 -j ACCEPT <strong>// DNS</strong><br />
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT <strong>// DNS</strong><br />
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 110 -j ACCEPT <strong>// POP limité à mon fai</strong><br />
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 587 -j ACCEPT <strong>// SMTP (port 587 chez tele2) limité au fai</strong><br />
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT <strong>// Navigation web</strong><br />
-A INPUT -i lo -j ACCEPT <strong>// Connexions locales</strong><br />
-A INPUT -p tcp -m tcp --sport 4000 -j ACCEPT <strong>// Jeu (Diablo II sur wine)</strong><br />
-A INPUT -p tcp -m tcp --sport 6112 -j ACCEPT <strong>// Jeu (Diablo II sur wine)</strong><br />
-A INPUT -p tcp -m tcp --sport 1863 -j ACCEPT <strong>// Gaim (msn)</strong><br />
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT <strong>// HTTPS</strong><br />
-A INPUT -p tcp -m tcp --sport 6667 -j ACCEPT <strong>// IRC</strong><br />
COMMIT<br />
<br />
<br />
Sur ce, on m'a dit qu'il serait préférable de filtrer la chaine OUTPUT aussi. Je l'ai fait (je ne vais pas ajouter la config, ce serait un peu lourd et c'est juste un miroir de INPUT)<br />
<br />
Mais cela me pose quelques problèmes dans le fait que je ne puisse plus utiliser nmap.<br />
<br />
J'ai pensé à la solution suivante : <br />
<br />
iptables -A OUTPUT -o eth0 -p tcp -m owner --cmd-owner nmap -J ACCEPT <br />
<br />
mais Iptables me gratifie d'un encouragent " Iptables : Invalid argument"<br />
<br />
Merci pour vos réponses.<br />
Cordialement. Choukette<div><a href="https://linuxfr.org/forums/linux-noyau/posts/demande-davis-sur-une-config-iptables.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/75470/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-noyau/posts/demande-davis-sur-une-config-iptables#comments">ouvrir dans le navigateur</a>
</p>
Alexandrehttps://linuxfr.org/nodes/75470/comments.atom