dès que je passe le forward à drop je ping plus l'extérieur même en rajoutant ca:
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables, redirection de port
-
dsebire
- Messages : 13160
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
iptables, redirection de port
ok, donc en plus, manque une regle FORWARD.dès que je passe le forward à drop je ping plus l'extérieur même en rajoutant ca:
je viens de regarder sur une de mes machines, essaie ça:
IPTABLES -A FORWARD -s 192.168.20.64/26 -j ACCEPT
(en plus de celle de mon post avant, tu vas en avoir besoin quand meme)
iptables, redirection de port
même en rajoutant cette règle, dès que je passe le forward à drop ca plus rien qui sort....
j'en suis la:
[cpp]#!/usr/bin/env bash
# Firewall script
# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# De base a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# De base a 1
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# De base a 0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_nat
#Vide les tables
iptables -F
iptables -X
#Strategie par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#LOG des paquets
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A OUTPUT -j LOG
#Creation d'une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP
# Anti-Taiwanais
iptables -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
#Protection DDOS
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#Ne pas casser les connexion deja etablies
iptables -A INPUT -m state --state established,related -j ACCEPT
#Accepte le ping
iptables -A INPUT -p icmp -j ACCEPT
#Connexion boucle locale
iptables -A INPUT -i lo -j ACCEPT
#Acceptation ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Rate limite SSH
iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 6 -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set
#Acceptation dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#Routage general
iptables -t nat -A POSTROUTING -s 192.168.20.64/26 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.64/26 -j ACCEPT
#Routage dedsrv-0001
iptables -t nat -A PREROUTING -d 212.83.128.234 -p tcp --dport 19484 -j DNAT --to-dest 192.168.20.66:22
iptables -t nat -A POSTROUTING -d 192.168.20.66 -p tcp --dport 22 -j SNAT --to 212.83.128.234
#Bloque tout le reste
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j DROP
exit 0
[/cpp]
j'en suis la:
[cpp]#!/usr/bin/env bash
# Firewall script
# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# De base a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# De base a 1
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# De base a 0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_nat
#Vide les tables
iptables -F
iptables -X
#Strategie par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#LOG des paquets
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A OUTPUT -j LOG
#Creation d'une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP
# Anti-Taiwanais
iptables -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
#Protection DDOS
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#Ne pas casser les connexion deja etablies
iptables -A INPUT -m state --state established,related -j ACCEPT
#Accepte le ping
iptables -A INPUT -p icmp -j ACCEPT
#Connexion boucle locale
iptables -A INPUT -i lo -j ACCEPT
#Acceptation ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Rate limite SSH
iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 6 -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set
#Acceptation dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#Routage general
iptables -t nat -A POSTROUTING -s 192.168.20.64/26 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.64/26 -j ACCEPT
#Routage dedsrv-0001
iptables -t nat -A PREROUTING -d 212.83.128.234 -p tcp --dport 19484 -j DNAT --to-dest 192.168.20.66:22
iptables -t nat -A POSTROUTING -d 192.168.20.66 -p tcp --dport 22 -j SNAT --to 212.83.128.234
#Bloque tout le reste
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j DROP
exit 0
[/cpp]
iptables, redirection de port
j'ai trouvé [:gizmo78:5]
j'ai rajouté :
[cpp]iptables -A FORWARD -m state --state established,related -j ACCEPT[/cpp]
et du coup même si je met le forward en drop ca passe! ping sur ip et ndd
me reste la redirection de port et roulez!
j'ai rajouté :
[cpp]iptables -A FORWARD -m state --state established,related -j ACCEPT[/cpp]
et du coup même si je met le forward en drop ca passe! ping sur ip et ndd
me reste la redirection de port et roulez!
-
dsebire
- Messages : 13160
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
iptables, redirection de port
ah !!!! cool 
t'avais donc le premier paquet qui passait (NEW) mais pas les suivants !
t'avais donc le premier paquet qui passait (NEW) mais pas les suivants !
iptables, redirection de port
ouaip grâce à la même commande mais en input, du coup le paquet new arrivait à la vm mais ca réponse (en forward du coup) ne passait pas.
me reste cette foutu redirection ^^
me reste cette foutu redirection ^^
iptables, redirection de port
ouaip, en gros en réseau interne mes vm gardes leur ports basic (style 22 pour ssh) mais par contre depuis l'extérieur je les attaques avec un port différent
-
dsebire
- Messages : 13160
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
iptables, redirection de port
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 192.168.20.66:22
iptables -A FORWARD -i eth0 -p tcp --dport 22 -d 192.168.20.66 -j ACCEPT
a adapter
eth0 etant considéré comme ton interface WAN
22 le port externe/interne
l'IP du LAN bien sur
iptables -A FORWARD -i eth0 -p tcp --dport 22 -d 192.168.20.66 -j ACCEPT
a adapter
eth0 etant considéré comme ton interface WAN
22 le port externe/interne
l'IP du LAN bien sur
iptables, redirection de port
ca fonctionne avec eth0
je vais tester avec eth1 qui sera l'interface d'accès.
merci
edit: ca fonctionne avec eth1
un grand merci Mr Dsebire
je vais tester avec eth1 qui sera l'interface d'accès.
merci
edit: ca fonctionne avec eth1
un grand merci Mr Dsebire
iptables, redirection de port
Non [:alexpa]de rien !
c'est facile IPtables
-
dsebire
- Messages : 13160
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
iptables, redirection de port
si, c'est l'utilisateur qui a du mal 
(et je parle pas que de gizmo, tous ceux qui ont essayé ont eu des problèmes)
(et je parle pas que de gizmo, tous ceux qui ont essayé ont eu des problèmes
)-
dsebire
- Messages : 13160
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
iptables, redirection de port
tu gère comment tes 2 WAN ?
tu as un trunk ?
ou du load balancing méthode manouche (2 IP sur un enregistrement DNS A?
tu as un trunk ?
ou du load balancing méthode manouche (2 IP sur un enregistrement DNS A?
iptables, redirection de port
mes 2 wan?
je gère rien de spé, je garde une ip pour garder la main sur le firewall et pouvoir faire du ssh, et l'autre est dédiée aux services qui sont derrières.
je gère rien de spé, je garde une ip pour garder la main sur le firewall et pouvoir faire du ssh, et l'autre est dédiée aux services qui sont derrières.