Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptables Firewall

jeandoubleun

Bonjour la communauté,

J'ai besoin de votre aide!!
Nous avons un serveur physique avec 3 VMs (Firewall, Prod, preprod).

Nous aimerions que l'un de nos sites internet (ex toto.fr) accède à l'un de nos services présent sur le serveur de prod via le port 8256.

Le firewall a 2 interfaces réseaux (eth0 = IP externe et eth1=IP interne).
L'interface eth1 est ensuite connecté à l'interface de la VM de prod.

Le souci est que malgré mes différents ajouts de lignes iptables, je n'accède pas à ce que je veux.

dans l'INPUT, j'ai ajouté cette ligne :
Chain INPUT (policy DROP 25 packets, 1190 bytes)
20 180 9360 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8256

on remarque qu'il y a bien des paquets qui arrivent sur l'eth0 lorsque je fais des tests. mais ensuite, je ne vais pas jusqu'au serveur de prod.

Il faut que je rajoute des règles dans le FORWARD?

Merci de votre aide

jeandoubleun

Chain INPUT (policy DROP 3 packets, 120 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
2    4234K  804M ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
3     208K   10M ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
4        1   860 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500
5     139K  416M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
6     4787  153K ACCEPT     icmp --  eth0   *       92.222.184.0/24      0.0.0.0/0
7        0     0 ACCEPT     icmp --  eth0   *       92.222.185.0/24      0.0.0.0/0
8     4767  153K ACCEPT     icmp --  eth0   *       92.222.186.0/24      0.0.0.0/0
9     4787  153K ACCEPT     icmp --  eth0   *       167.114.37.0/24      0.0.0.0/0
10    296K  205M ACCEPT     all  --  eth1   *       0.0.0.0/0            120.0.0.1            state RELATED,ESTABLISHED
11       0     0 ACCEPT     tcp  --  eth0   *       37.71.13.14          0.0.0.0/0            tcp dpt:3232
12       1    52 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0
13    1468 97886 ACCEPT     tcp  --  eth1   *       120.0.0.0/24         0.0.0.0/0            tcp dpt:3128
14       0     0 ACCEPT     tcp  --  eth0   *       172.20.0.0/16        0.0.0.0/0            tcp dpt:3128
15       0     0 ACCEPT     icmp --  *      *       110.0.0.0/24         0.0.0.0/0
16       0     0 ACCEPT     all  --  *      *       110.0.0.0/24         0.0.0.0/0
17       0     0 ACCEPT     all  --  *      *       110.0.0.30           0.0.0.0/0
18       2   120 ACCEPT     tcp  --  eth0   *       172.21.0.0/16        0.0.0.0/0            tcp dpt:3128
19       2   120 ACCEPT     icmp --  eth0   *       77.158.238.132       0.0.0.0/0
20      96  4992 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8256

j'ai ajouté la ligne 20. On voit bien des paquets arrivés sur l'eth0 => parfait.
mais ensuite, je veux que ces mêmes paquets aillent jusqu'au serveur 120.0.0.10. et c'est là que je suis perdu

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        3   120 DROP       all  --  *      *       120.0.0.0/24         192.168.0.0/24       ! state RELATED,ESTABLISHED
2      277 11080 DROP       all  --  *      *       120.0.0.0/24         192.168.1.0/24       ! state RELATED,ESTABLISHED
3     319K   39M ACCEPT     all  --  *      *       192.168.0.0/24       120.0.0.0/24
4     198K  532M ACCEPT     all  --  *      *       120.0.0.0/24         192.168.0.0/24       state RELATED,ESTABLISHED
5    3776K  511M ACCEPT     all  --  *      *       192.168.1.0/24       120.0.0.0/24
6        0     0 ACCEPT     all  --  *      *       192.168.5.0/24       120.0.0.0/24
7    2404K 4837M ACCEPT     all  --  *      *       120.0.0.0/24         192.168.1.0/24       state RELATED,ESTABLISHED
8        0     0 ACCEPT     all  --  *      *       120.0.0.0/24         192.168.5.0/24       state RELATED,ESTABLISHED
9    3735K 5415M ACCEPT     all  --  *      *       0.0.0.0/0            120.0.0.10           state RELATED,ESTABLISHED
10    754K 5697M ACCEPT     all  --  *      *       0.0.0.0/0            120.0.0.20           state RELATED,ESTABLISHED
11       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            188.165.185.33
12   3758K   13G ACCEPT     all  --  *      *       0.0.0.0/0            178.33.121.134
13       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            158.255.66.26
14       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            158.255.66.8
15       4   304 ACCEPT     all  --  *      *       0.0.0.0/0            213.251.128.249
16       9   360 DROP       all  --  *      *       120.0.0.0/24         192.168.44.0/24      ! state RELATED,ESTABLISHED
17   83599  445M ACCEPT     all  --  *      *       120.0.0.0/24         192.168.44.0/24      state RELATED,ESTABLISHED
18    4107  214K ACCEPT     all  --  *      *       192.168.44.0/24      120.0.0.0/24
19      62  8835 ACCEPT     all  --  *      *       0.0.0.0/0            34.248.20.69
20       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            212.170.33.198
21       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            212.170.33.199
22     103  9985 ACCEPT     all  --  *      *       0.0.0.0/0            62.4.31.27
23       0     0 ACCEPT     all  --  *      *       192.168.2.0/24       120.0.0.0/24
24       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         192.168.2.0/24       state RELATED,ESTABLISHED
25      41 29098 ACCEPT     all  --  *      *       0.0.0.0/0            5.39.32.34
26       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            147.67.210.30
27       0     0 ACCEPT     tcp  --  *      *       172.20.0.0/16        120.0.0.0/24         tcp dpt:2375
28       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         172.20.0.0/16
29   17536 1248K ACCEPT     all  --  *      *       120.0.0.0/24         213.186.33.99
30       0     0 ACCEPT     icmp --  *      *       110.0.0.0/24         120.0.0.0/24
31       0     0 ACCEPT     icmp --  *      *       120.0.0.0/24         110.0.0.0/24
32       0     0 ACCEPT     all  --  *      *       110.0.0.30           120.0.0.0/24
33       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         110.0.0.30
34      47  6317 ACCEPT     all  --  *      *       0.0.0.0/0            34.249.199.226
35       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         110.0.0.40
36       0     0 ACCEPT     all  --  *      *       110.0.0.40           120.0.0.0/24
37       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            193.84.73.76
38       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            37.59.171.65
39       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            37.59.171.66
40    1181 68100 ACCEPT     all  --  *      *       120.0.0.10           51.68.11.196
41     535 81638 ACCEPT     all  --  *      *       0.0.0.0/0            54.38.230.75
42       6   360 ACCEPT     tcp  --  *      *       172.21.0.0/16        120.0.0.0/24         tcp dpt:2375
43      43 23686 ACCEPT     all  --  *      *       120.0.0.0/24         172.21.0.0/16
44       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            51.68.127.81
45     115 10022 ACCEPT     all  --  *      *       120.0.0.0/24         91.188.76.68
46       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         140.82.121.3
47       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         140.82.121.4
48       0     0 ACCEPT     all  --  *      *       120.0.0.0/24         52.217.99.228

J'ai essayé d'ajouter des lignes dans le forward mais rien n'y fait. Peut être que je suis bloqué par une règle en amont?

iznobe

Salut ,

Pour faire un essai et savoir si c la chaine FORWARD qui bloque ( ce qui n' a pas l' airr d ' etre le cas ) il suffit de changer la POLICY en ACCEPT .
il est aussi possible de faire le meme test avec la chaine INPUT bien entendu ( ce qui semblerait plus logique que ca bloque a ce niveau là ) .

En modifiant les POLICY , ca permet de ne pas supprimer les regles deja presentes .
bien entendu , il faudra les remettre apres tests sur DROP , et affiner de façon a inclure la regle adequate .

vous ne montrez pas les regles OUTPUT , au vu de la configuration ca doit etre utile de nous les montrer .

le plus facile pour tester si cela est fonctionnel , est d' envoyer des pings a partir du poste qui doit acceder .

la ligne 20 que vous dites parfaite , autorise tous les paquets a partir de n ' importe quel et vers n ' importe qu ' elle IP utilisant le protocole TCP sur l' interface ETH0 , il me semble que ca n' est pas ce que vous desirez !
Qui a mis en place les regles iptables actuelles , il serait plus judicieux de faire appel a cette personne .
Sans compter il faudra aussi ajouter des regles a l ' appareil voulant acceder au serveur en INPUT et certainement OUPUT .