Page 2 sur 2

iptables, redirection de port

Publié : mar. 20 août 2013 16:47
par gizmo78
dès que je passe le forward à drop je ping plus l'extérieur même en rajoutant ca:

iptables -A FORWARD -m state --state established,related -j ACCEPT

iptables, redirection de port

Publié : mar. 20 août 2013 22:04
par dsebire
dès que je passe le forward à drop je ping plus l'extérieur même en rajoutant ca:
ok, donc en plus, manque une regle FORWARD.
je viens de regarder sur une de mes machines, essaie ça:
IPTABLES -A FORWARD -s 192.168.20.64/26 -j ACCEPT
(en plus de celle de mon post avant, tu vas en avoir besoin quand meme)

iptables, redirection de port

Publié : mer. 21 août 2013 11:33
par gizmo78
même en rajoutant cette règle, dès que je passe le forward à drop ca plus rien qui sort....

j'en suis la:

[cpp]#!/usr/bin/env bash
# Firewall script

# De base a 1
echo 1 > /proc/sys/net/ipv4/ip_forward
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# De base a 1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# De base a 1
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# De base a 1
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# De base a 0
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_nat

#Vide les tables
iptables -F
iptables -X

#Strategie par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#LOG des paquets
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A OUTPUT -j LOG

#Creation d'une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP

# Anti-Taiwanais
iptables -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -A INPUT -i eth1 -s 168.95.0.0/16 -j LOG_REJECT_SMTP

#Protection DDOS
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#Ne pas casser les connexion deja etablies
iptables -A INPUT -m state --state established,related -j ACCEPT

#Accepte le ping
iptables -A INPUT -p icmp -j ACCEPT

#Connexion boucle locale
iptables -A INPUT -i lo -j ACCEPT

#Acceptation ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Rate limite SSH
iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 6 -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set

#Acceptation dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

#Routage general
iptables -t nat -A POSTROUTING -s 192.168.20.64/26 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.64/26 -j ACCEPT

#Routage dedsrv-0001
iptables -t nat -A PREROUTING -d 212.83.128.234 -p tcp --dport 19484 -j DNAT --to-dest 192.168.20.66:22
iptables -t nat -A POSTROUTING -d 192.168.20.66 -p tcp --dport 22 -j SNAT --to 212.83.128.234

#Bloque tout le reste
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j DROP

exit 0

[/cpp]

iptables, redirection de port

Publié : mer. 21 août 2013 11:41
par gizmo78
j'ai trouvé [:gizmo78:5]

j'ai rajouté :

[cpp]iptables -A FORWARD -m state --state established,related -j ACCEPT[/cpp]

et du coup même si je met le forward en drop ca passe! ping sur ip et ndd :D

me reste la redirection de port et roulez!

iptables, redirection de port

Publié : mer. 21 août 2013 11:45
par dsebire
ah !!!! cool ;)
t'avais donc le premier paquet qui passait (NEW) mais pas les suivants !

iptables, redirection de port

Publié : mer. 21 août 2013 11:47
par gizmo78
ouaip grâce à la même commande mais en input, du coup le paquet new arrivait à la vm mais ca réponse (en forward du coup) ne passait pas.

me reste cette foutu redirection ^^

iptables, redirection de port

Publié : mer. 21 août 2013 11:48
par dsebire
redirection = NAT de port ?

iptables, redirection de port

Publié : mer. 21 août 2013 11:55
par gizmo78
ouaip, en gros en réseau interne mes vm gardes leur ports basic (style 22 pour ssh) mais par contre depuis l'extérieur je les attaques avec un port différent

iptables, redirection de port

Publié : mer. 21 août 2013 12:12
par dsebire
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 192.168.20.66:22
iptables -A FORWARD -i eth0 -p tcp --dport 22 -d 192.168.20.66 -j ACCEPT

a adapter
eth0 etant considéré comme ton interface WAN
22 le port externe/interne
l'IP du LAN bien sur

iptables, redirection de port

Publié : mer. 21 août 2013 13:01
par gizmo78
ca fonctionne avec eth0 :D

je vais tester avec eth1 qui sera l'interface d'accès.

merci ;)

edit: ca fonctionne avec eth1 :D

un grand merci Mr Dsebire :jap:

iptables, redirection de port

Publié : mer. 21 août 2013 13:09
par dsebire
de rien !
c'est facile IPtables :D

iptables, redirection de port

Publié : mer. 21 août 2013 13:44
par Zedoune
de rien !
c'est facile IPtables :D
Non [:alexpa]

iptables, redirection de port

Publié : mer. 21 août 2013 13:59
par dsebire
si, c'est l'utilisateur qui a du mal :whistle:
(et je parle pas que de gizmo, tous ceux qui ont essayé ont eu des problèmes :D)

iptables, redirection de port

Publié : mer. 21 août 2013 14:04
par dsebire
tu gère comment tes 2 WAN ?
tu as un trunk ?
ou du load balancing méthode manouche (2 IP sur un enregistrement DNS A?

iptables, redirection de port

Publié : mer. 21 août 2013 14:37
par gizmo78
mes 2 wan?

je gère rien de spé, je garde une ip pour garder la main sur le firewall et pouvoir faire du ssh, et l'autre est dédiée aux services qui sont derrières.

iptables, redirection de port

Publié : mer. 21 août 2013 14:59
par dsebire
OK !