[IPtables] Bloquer tout sauf 3 services

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

rebonjour !!

je vais prendre note de tout ce que vous m'avez dis !

mais sinon en ce qui concerne le "bien comprendre ce que tu fais" et bien j'ai pas vraiment le temps... il s'agit d'un projet pour mon ecole pour vendredi soir dernier delai et je n'ai pas que le iptable a faire (j ai egallement des difficulter a faire marcher le net logon de samba et quelques truc a faire pour faire une webmin)

sinon j'ai des besoin tres preci, donc pas a me soucier de l'evolution de ces derniers faudra juste que je rendre un projet fini...

sinon tout ceci est dans une vmware, pour faire mes test il suffit que je mette la passerrelle par defaut sur cette derniere je suppose ... en tout cas je n'arrive pas pour l'instant a me connecter en http a travers snif !

ah oui sinon mon reseau est tout simple :

WEB
|
eth1
SERVEUR
eth0
|
LAN

bon je vais continuer mes test avec ce que vous dites ...

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

salut,

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

Merci pour les liens mais la je crois que je desespere deçu ^^

l'authentification au boot de windows etait une option et je crois que ca le restera pour mon groupe ^^

en tout cas pour l'iptable j'ai fait un mix entre les 2 : l'idée d'autorisé tout l'output est vraiment une excelante idée ! et ca enleve pas mal de doublon (donc + perf ^^)sans etre moins sure, chapeau bas ! mais bon voila je ne comprend pas du tout pourquoi mais quand j'execute ce script je ne peu plus rien faire (le ssh passe plus j'ai pas essayé de diagnostiquer plus ...)

creuvard · Posted: Wed Apr 19, 2006 10:01 pm Post subject:

Pour le ssh j'avais fait une boulette en écrivant le script l'autre jour . Je l'ai éditer mais tu as du prendre la première version.

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

Salut,

Avec la politique (policy) OUTPUT ACCEPT

Tu doit encore épurer ton script par ex pour le DNS ( tu l'a déjà authorisé localement) et le HTTP

Tu dois juste autoriser les requêtes depuis le LAN vers le WWW et les réponses pour ces connexions (les services vont se démerder avec les ports...)

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

Bon j'ai fait les modif mais j'ai toujours le meme probleme ... ceux du lan ne peuvent pas acceder au serveur ... et je ne comprend pas pourquoi :-/
(quand je parlais du ssh je voullais dire me connecter depuis le lan vers le serveur en lui meme, pas a travers)

voici le fichier de conf : (presque le meme en prenant en compte vos remarques)

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

Salut,

Tu n'as rien changé à part surcharger ton script, ce qui n'est pas le but...

Tu peux enlever le OUTPUT du lo car tu as un OUTPUT ACCEPT

Commente avec # le DNS et les connexions a internet que tu spécifies avec les ports car le travail est déjà fait.

Résumons:

creuvard · Posted: Thu Apr 20, 2006 11:16 am Post subject:

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

Bonjour !

J'ai de la chance le rendu de projet a été reponssé d'une 10ene de jour ^^

Je me suis penché un peu sur vos conf et je suis arrivé a ça :

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

Sinon man in the hill j'ai fais un copier coller de ton fichier de conf sur le lien que tu m'as donnée et c parrail ... :-/

vous pensez que cela viens de la vmware ?

PabOu · Posted: Mon Apr 24, 2006 8:39 am Post subject:

En quel mode est configuré ton réseau vmware ?

avoir deux interfaces qui sont sur le même sous-réseau (192.168.0.0) pour faire firewall.. c'est pas tres malin ! je vois pas l'intérêt dans ce cas-ci. Avec tout ca, j'ai énormément de mal à comprendre la structure de ton réseau (même si il est tout simple).

ping c'est le protocole ICMP.
_________________
Mangez du poulet !

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

salut,

Mon réseau a une passerelle wifi donc pas de copier/coller...

Sinon, tu as un doublon qui ne sert à rien :

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

Oki merci des précision

sinon pour la conf de la vmware : les 2 sont en briged ... c'est pas forcement optimal c'est sur ... je vais essayer de mettre celle du lan en host to host ca sera peut etre mieux

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

Salut,

Les nouvelles connexions (NEW) venant du WWW vers ton serveur doivent être dirigés vers un service et un port bien précis sinon c'est le moulin...

@+
_________________
Get Up and Go !

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

hummm mais pour l'instant je n'ai aucun new venant du WAN ?? donc y a pas de trou normallement

En tout cas je laisse tombé la vmware pour le firewall je testerai sur un vrai pc dans quelques jours pasque c'est vraiment pas pratique ... en host to host je suis plus sur une bonne plage d'ip et en nat parrail donc j'ai des problemes pour le contacter ... :-/

a dans quelques jours peut etre ^^

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

salut,

C'est la meilleur solution pour que les choses soient claires et limpides !

@ +
_________________
Get Up and Go !

PabOu · Posted: Tue Apr 25, 2006 6:50 am Post subject:

non, le vmware n'est pas si compliqué que ca, en bridge, c'est exactement comme si tu avais chaque PC client connecté sur le même switch/hub que ton vrai ordi (ou alors si t'es directement connecté à un modem/routeur adsl/wifi, c'est l'équivalent d'ajouter un switch et d'y connecter ce modem aussi). Après, il faut quelques notions de réseau pour comprendre comment se fait le routage d'un paquet IP.

Anthyme · Guru Joined: 25 Jun 2004 Posts: 498

bon j'ai pas voullu me casser plus la tete ..., j'ai testé sur un pc physique et ca marche beaucoup mieu !!!

je pense que je vais proposer 2 possibilité de firewalling pour "la boite" : une proche de celle de man of the hill et une autre plus répréssive avec DNS/HTTP/FTP en gros !

merci beaucoup !