iptables et installeur debien

[gizmo78]

Bonjour à tous,

Bon je me prend la tête sur un truc:
j'essaye d'autoriser l'installateur de debian à travers un iptables.

j'ai un fw minimaliste pour l'instant et qui laisse bien filtrer le réseau, les maj, aptitude etc.

sauf que ca bloque la configuration de l'outil de gestion des paquets lors de l'installe de debian.

voila mon fw:

[cpp]#!/usr/bin/env bash
# Firewall script

# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe iptable_nat

#Vide les tables
iptables -F
iptables -X

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

exit 0
[/cpp]

super simple mais je le complèterais plus tard.

mon fw est sous debian et à deux eth:
- eth0 : 192.168.1.xx sur mon lan
- eth1 : 10.0.0.1 sur le vswitch dedié au projet

la vm que j'essaye d'installer est en 10.0.0.3/8 avec comme gateway 10.0.0.1 pareil pour le DNS (ca fonctionne niveau maj etc sur une autre vm)

j'ai comme message d'erreur: miroir de l'archive corrompu.

avec iptraf sur le fw je vois bien des paquets passer mais je pense qu'il y a un soucis de passage de protocole style http mais j'ai essayé en l'autorisant en input, output, forward pareil

une idée du soucis?

je peux fournir logs, conf etc sans soucis c'est pas de la prod

merci

[gizmo78]

je up car mon problème est toujours présent:

j'ai une vm avec une ip public et j'essaye d'installer des vm depuis le coté LAN.

voici le fichier du firewall:

[cpp]#!/usr/bin/env bash
# Firewall script

# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# De base a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# De base a 1
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# De base a 0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_nat

#Vide les tables
iptables -F
iptables -X

#Strategie par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Ne pas casser les connexion deja etablies
iptables -A INPUT -m state --state established,related -j ACCEPT
iptables -A FORWARD -m state --state established,related -j ACCEPT

#Accepte le ping
iptables -A INPUT -p icmp -j ACCEPT

#Connexion boucle locale
iptables -A INPUT -i lo -j ACCEPT

#Acceptation ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Rate limite SSH
iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 6 -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set

#Routage general
iptables -t nat -A POSTROUTING -s 192.168.20.64/26 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.64/26 -j ACCEPT

exit 0[/cpp]

ma vm iptables est en 192.168.20.65 et ma vm est en 66.

dans l'installateur debian j'ai un message d'erreur disant que le dépôt est corrompu mais dans la 4ème console j'ai ca:
WARNING **: mirror does not support the specified release (wheezy).

si je fais passer la vm à installer directement sur internet not soucy.

une idée?

[dricfr]

Salut,

désolé, je vais surement dire une grosse co*****e, mais quel logiciel de virtualisation utilises-tu et es-tu certains que les VM peuvent communiquer entre elles (ou tout du moins que tous les protocoles sont implantés) ?

@++

[gizmo78]

ouaip elles se voient no soucy,

on ma donné l'info sur hfr.

il faut autoriser l'http sur le fw et après l'installation fonctionne nickelle.

[dsebire]

manque ton interface de sortie ici:
iptables -t nat -A POSTROUTING -s 192.168.20.64/26 -j MASQUERADE

tu devrais avoir un -o eth0 ou ethX suivant l'interface "WAN"

[gizmo78]

ha ouais

modifie au pied de biche ^^

merci

[gizmo78]

ca fonctionnait nickel et la je veux installer une nouvelle vm et rebelotte le même message...

pourtant normalement mon fw est bien:

[cpp]#!/usr/bin/env bash
# Firewall script
# 192.168.20.65 - 192.168.20.126
# 255.255.255.192
#

# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# De base a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# De base a 1
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# De base a 0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_nat

#Vide les tables
iptables -F
iptables -X

#Strategie par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Ne pas casser les connexion deja etablies
iptables -A INPUT -m state --state established,related -j ACCEPT
iptables -A FORWARD -m state --state established,related -j ACCEPT

#Accepte le ping
iptables -A INPUT -p icmp -j ACCEPT

#Connexion boucle locale
iptables -A INPUT -i lo -j ACCEPT

#Acceptation ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Acceptation http pour installeur debian
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT

#Rate limite SSH
iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 6 -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set

#Routage general
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.64/26 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.64/26 -j ACCEPT

#Routage serveur web
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 18484 -j DNAT --to-dest 192.168.20.66:22
iptables -A FORWARD -i eth0 -p tcp --dport 22 -d 192.168.20.66 -j ACCEPT[/cpp]

j'avoue ne pas comprendre...

[dsebire]

lapin compris
ta nouvelle VM accede pas au net a nouveau ?

[gizmo78]

l'installateur pour une nouvelle vm ne passe le fw, alors que une vm déjà installée ping google sans soucis oO

edit: et maintenant ca passe.... je pige pas la, je vais retester avec une nouvelle vm

[gizmo78]

bon okay, mon bind est mal configuré car il ne fait pas le relais. si je change le dns sur la vm par 8.8.8.8 ca passe nickel