Encore à propos d'iptables et de squid

Encore à propos d'iptables et de squid - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 21-05-2009 à 18:21:48    

Bonjour à tous, je suis désolé de remettre ce sujet sur le tapis mais je n'arrive pas à trouver mon erreur dans le fichier que j'utilise pour configurer iptables et plus de squid pour un serveur sous ubuntu. En effet ce fichier fonctionnait très bien jusqu'à une mise à jour d'ubuntu lors de la sortie de la 9.04, et maintenant.... plus rien, quelle que soit la version d'ubuntu.
 
Le problème est au niveau des forwards pour pop3 et smtp: rien ne passe...????  
 
Je viens aussi de découvrir un problème au niveau de squid: la restriction horaire ne fonctionne pas tout le temps...?
Et tant que j'y suis je n'arrive pas à faire passer le ftp, que ce soit avec squid ou avec iptables.
 
Merci d'avance à ceux qui auront le courage de se pencher sur mes problèmes: j'y ai passé une après midi sans avancer du tout.
 
Je mets le fichier de config d'iptables (que j'ai d'ailleurs vu plusieurs fois sur le forum), ainsi que le fichier conf de squid.
 
 
Iptables:

Code :
  1. #!/bin/bash
  4. # /8      /255.0.0.0
  5. # /16     /255.255.0.0
  6. # /24     /255.255.255.0
  7. #
  8. #
  11. ###################
  14. LOCAL="eth0"
  15. INTERNET="eth1"
  16. PRIVATE="192.168.0.0/24"
  17. SERVEUR="192.168.0.1"
  20. # Fonction pour arrêter le firewall (on flush)
  21. stop() {
  23. #/etc/init.d/squid stop
  26. echo -n "Flush des règles Iptables: "
  27. # On remet la police par défaut à ACCEPT
  28. #
  29. iptables -P INPUT ACCEPT
  30. iptables -P FORWARD ACCEPT
  31. iptables -P OUTPUT ACCEPT
  34. #
  35. # On remet les polices par défaut pour la table NAT
  36. #
  37. iptables -t nat -P PREROUTING ACCEPT
  38. iptables -t nat -P POSTROUTING ACCEPT
  39. iptables -t nat -P OUTPUT ACCEPT
  42. #
  43. # On vide (flush) toutes les règles existantes
  44. #
  45. iptables -F
  46. iptables -t nat -F
  49. #
  50. # Et enfin, on efface toutes les chaînes qui ne
  51. # sont pas à defaut dans la table filter et nat
  54. iptables -X
  55. iptables -t nat -X
  58. # Message de fin ok
  59. echo -e "[ \E[$40;32m OK \E[$40;0m ]"
  62. #echo -e "[\E[$40;33mfailed\E[$40;0m]"#failed
  63. }
  66. start(){
  68. #/etc/init.d/squid stop
  69. #/etc/init.d/squid start
  72. echo -n "Chargement des règles Iptables: "
  75. # Pour activer le forwarding
  76. echo 1 > /proc/sys/net/ipv4/ip_forward
  79. ###################
  80. # Pas de spoofing
  81. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  82. then
  83.   for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  84.     do
  85.        echo 1 > $filtre
  86.     done
  87. fi
  88. ###################
  89.  
  91. ###################
  92. # Pas de synflood
  93. if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
  94.    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  95. fi
  96. ###################
  98. modprobe ip_conntrack
  101. modprobe iptable_nat
  104. #modprobe iptable_filter
  107. # Pour autoriser les connexions ftp :
  108. modprobe ip_conntrack_ftp
  109. modprobe ip_nat_ftp
  112. # Activation du partage de connexion
  113. echo "1" > /proc/sys/net/ipv4/ip_forward
  117. # Remise à zero d'iptables:
  120. iptables -F
  121. iptables -t nat -F
  122. iptables -t mangle -F
  123. iptables -X
  124. iptables -t nat -X
  125. iptables -t mangle -X
  126. ###################
  129. # La on logue et on refuse le paquet
  130. iptables -N LOG_DROP
  131. iptables -A LOG_DROP -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 1 -- DROP '
  132. iptables -A LOG_DROP -j DROP
  135. # ici, on logue et on accepte le paquet
  136. iptables -N LOG_ACCEPT
  137. iptables -A LOG_ACCEPT -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 2 -- ACCEPT '
  138. iptables -A LOG_ACCEPT -j ACCEPT
  141. ######################################
  142.  
  144. ###################
  145. # Regles par defaut:
  146. # on refuse les connexions entrantes
  147. iptables -P INPUT DROP
  148. # on refuse les connexions destinées à être forwardées
  149. iptables -P FORWARD DROP
  150. # les connexions sortantes sont refusées par défaut
  151. iptables -P OUTPUT DROP
  152. ###################
  155. # Translation d'adresse pour tout ce qui sort vers l'internet
  156. iptables -A POSTROUTING -t nat -o $INTERNET  -j MASQUERADE
  159. #####################################################################
  160. # Regles générale sur les differente interfaces
  163. # On accepte tout ce qui entre et sort de l'interface de loopback
  164. iptables -A INPUT  -i lo -j ACCEPT
  165. iptables -A OUTPUT -o lo -j ACCEPT
  168. # On accepte les packets entrants relatifs à  des connexions déjà établies sur l'interface connectée au net
  169. iptables -A INPUT -i $INTERNET -m state --state RELATED,ESTABLISHED -j ACCEPT
  170. iptables -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  171.  
  173. # On accepte les packets entrants relatifs à des connexions déjà établies sur l'interface connectée au lan
  174. iptables -A INPUT -i $LOCAL -m state --state RELATED,ESTABLISHED -j ACCEPT
  175. iptables -A OUTPUT -o $LOCAL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  178. ####################################################################
  179. # Regles
  182. # Partage de fichiers uniquement en local
  185. iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 139 -j ACCEPT
  186. iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 445 -j ACCEPT
  189. # on accepte l'envoie de mail sur le serveur a partir du reseau local
  190. #iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 25 -j ACCEPT
  193. #on laisse passer les requetes dns
  194. iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 53  -j ACCEPT
  195. iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53  -j ACCEPT
  198. #on laisse passer le proxy
  199. #iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 8080  -j ACCEPT
  202. # on autorise le trafique web de partout
  203. iptables -A INPUT -p tcp --dport 80  -j ACCEPT
  204. iptables -A INPUT -p tcp --dport 443  -j ACCEPT
  206. # ssh
  207. iptables -A INPUT -p tcp --dport ssh -j ACCEPT
  210. # Redirection du port 80 vers le port 8080 ( celui du poxy squid )
  211. iptables -t nat -A PREROUTING -s $PRIVATE -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
  212. iptables -A INPUT -i $LOCAL  -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 8080  -j ACCEPT
  215. # les pings
  217. iptables -A INPUT -p icmp -i eth0 -j ACCEPT
  218. iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
  221. ############################################################
  222. # Forwarding
  225. # Les connections venant du lan destiné a etre forwardé sont accepté.
  226. iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  228. iptables -A FORWARD -i $LOCAL -o $INTERNET -p tcp \
  229. --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  231. iptables -A FORWARD -i $LOCAL -o $INTERNET -p tcp \
  232. --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  234. iptables -A FORWARD -i $LOCAL -o $INTERNET -p tcp \
  235. --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  237. iptables -A FORWARD -i $LOCAL -o $INTERNET -p tcp \
  238. --dport 38216 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  242. # Seules les connexions déjà établies ou en relation avec des connexions déjà établies sont acceptées venant du Net vers le LAN
  243. iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT
  246. # Permet à l'ensemble du LAN de dialoguer sur internet avec la même adresse IP
  247. iptables -t nat -A POSTROUTING -s $PRIVATE -j MASQUERADE
  251. # Ici on refuse les connexion entrantes et les paquets invalides
  252. iptables -A INPUT -i $INTERNET  -m state --state NEW,INVALID -j LOG_DROP
  253. iptables -A OUTPUT -o $INTERNET  -m state --state INVALID -j LOG_DROP
  256. # Toutes les règles qui n'ont pas passé les règles du firewall seront refusées et loguées...
  257. iptables -A FORWARD -j LOG_DROP
  258. iptables -A INPUT -j LOG_DROP
  259. iptables -A OUTPUT -j LOG_DROP
  263. # Message de fin ok
  264. echo -e  "[ \E[$40;32m OK \E[$40;0m ]"
  265. }
  266.  
  269. case "$1" in
  270.         start)
  271.                 start
  272.                 ;;
  273.         stop)
  274.                 stop
  275.                 ;;
  276.         reload)
  277.                 stop
  278.                 start
  279.                 ;;
  280.          status)
  281.                 /sbin/iptables -L
  282.                 /sbin/iptables -t nat -L
  285.                 ;;
  286.         *)
  287.                 echo -e "Usage: proxy {start|stop|reload|status}"
  288.                 exit 1
  289.                 ;;
  290. esac
  293. exit 0


 
 
 
 
Squid:

Code :
  1. http_port 192.168.0.1:8080
  2. hierarchy_stoplist cgi-bin ?
  3. acl QUERY urlpath_regex cgi-bin \?
  4. no_cache deny QUERY
  5. cache_mem 16 MB
  6. maximum_object_size 15 MB
  7. cache_dir ufs /var/spool/squid 200 16 256
  9. emulate_httpd_log on
  11. refresh_pattern ^ftp:           1440        20%        10080
  12. refresh_pattern ^gopher:        1440         0%        1440
  13. refresh_pattern .                  0        20%        4320
  15. # on crée les groupes pour les interdictions
  16. acl grands src 192.168.0.2 192.168.0.3
  17. acl maison src 192.168.0.0/255.255.255.0
  19. #Horaires de connection
  20. acl tpsconnection time M 19:00-20:30 \
  21.         T 19:00-20:30 \
  22.         W 16:00-20:00 \
  23.         H 19:00-21:30 \
  24.         F 19:00-21:30 \
  25.         A 09:00-12:00 16:00-20:00 \
  26.         S 16:00-20:30
  28. acl all src 0.0.0.0/0.0.0.0
  29. acl manager proto cache_object
  30. acl localhost src 127.0.0.1/255.255.255.255
  31. acl to_localhost dst 127.0.0.0/8
  33. acl SSL_ports port 443 563     # https, snews
  34. acl SSL_ports port 873      # rsync
  35. acl Safe_ports port 80      # http
  36. acl Safe_ports port 21      # ftp
  37. acl Safe_ports port 443 563    # https, snews
  38. acl Safe_ports port 70      # gopher
  39. acl Safe_ports port 210     # wais
  40. acl Safe_ports port 1025-65535      # unregistered ports
  41. acl Safe_ports port 280     # http-mgmt
  42. acl Safe_ports port 488     # gss-http
  43. acl Safe_ports port 591     # filemaker
  44. acl Safe_ports port 777     # multiling http
  45. acl Safe_ports port 873     # rsync
  46. acl Safe_ports port 1863            # msn
  48. acl purge method PURGE
  49. acl CONNECT method CONNECT
  51. http_access allow manager localhost
  52. http_access deny manager
  53. http_access allow purge localhost
  54. http_access deny purge
  55. http_access deny !Safe_ports
  56. http_access deny CONNECT !SSL_ports
  58. http_access allow grands
  60. http_access allow maison tpsconnection
  62. # Ces deux lignes permettent d'intégrer le plugin SquidGuard
  63. url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  64. url_rewrite_children 8
  67. http_access allow localhost
  68. http_access deny all
  69. http_reply_access allow all
  71. icp_access allow all
  72. coredump_dir /var/spool/squid
  73. dns_nameservers 212.27.53.252  212.27.54.252
  75. error_directory /usr/share/squid/errors/French
  77. visible_hostname serveur-maison

Reply

Marsh Posté le 21-05-2009 à 18:21:48   

Reply

Marsh Posté le 21-05-2009 à 18:28:12    

Salut,
 
est-ce que ufw est installé? Vérifie bien car peut-être que la mise à jour te l'as installé.
 
Si oui... ben désinstalle.

Reply

Marsh Posté le 21-05-2009 à 19:42:52    

ufw était installé, en effet, mais après désinstallation et redémarrage aucun changement. Merci quand même!!

Reply

Marsh Posté le 22-05-2009 à 12:50:43    

Je viens de réinstaller ubuntu 8.04, et je ne vois aucune différence. Le problème doit donc venir de mon fichier de config d'iptables, mais j'ai beau le tourner dans tous les sens je n'arrive à rien :-(
 
Au secours!!

Reply

Marsh Posté le 23-05-2009 à 11:03:46    

Bon je ne connais pas squid mais un peu iptables  
 
Poste le retour de "  sudo iptables -L -v -n "
 
Et on regarde si les ports 110 et 465 laissent passer.

Message cité 1 fois
Reply

Marsh Posté le 23-05-2009 à 11:50:00    

ogaby a écrit :

Bon je ne connais pas squid mais un peu iptables  
 
Poste le retour de "  sudo iptables -L -v -n "
 
Et on regarde si les ports 110 et 465 laissent passer.


 
Je viens d'essayer quelque chose: en théorie si je lance ce script, smtp et pop3 doivent passer non? Je mets "ACCEPT" pour INPUT et OUTPUT, rien n'est sécurisé mais en théorie ça devrait fonctionner! Et pourtant, rien ne passe!
 

Code :
  1. #!/bin/bash
  3. LOCAL="eth0"
  4. INTERNET="eth1"
  5. LAN="192.168.0.0/24"
  6. SERVEUR="192.168.0.1"
  8. # On remet la police par défaut à ACCEPT
  9. iptables -P INPUT ACCEPT
  10. iptables -P FORWARD ACCEPT
  11. iptables -P OUTPUT ACCEPT
  13. # On remet les polices par défaut pour la table NAT
  14. iptables -t nat -P PREROUTING ACCEPT
  15. iptables -t nat -P POSTROUTING ACCEPT
  16. iptables -t nat -P OUTPUT ACCEPT
  18. # Remise à zero d'iptables:
  19. iptables -F
  20. iptables -t nat -F
  21. iptables -t mangle -F
  22. iptables -X
  23. iptables -t nat -X
  24. iptables -t mangle -X
  27. echo 1 > /proc/sys/net/ipv4/ip_forward
  28. modprobe ip_conntrack
  29. modprobe iptable_nat
  30. modprobe iptable_filter
  31. modprobe ip_conntrack_ftp
  32. modprobe ip_nat_ftp
  35. # Translation d'adresse pour tout ce qui sort vers l'internet
  36. iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE
  39. # connexions LAN-Internet (ftp)
  40. iptables -A FORWARD -p tcp --dport 21 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  41. iptables -A FORWARD -p tcp --sport 21 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  42. iptables -A FORWARD -p tcp --sport 20 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  43. iptables -A FORWARD -p tcp --dport 20 -i eth0 -o eth1 -m state --state ESTABLISHED -j ACCEPT
  45. # connexions LAN-Internet (pop)
  46. iptables -A FORWARD -p tcp --dport 110 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  47. iptables -A FORWARD -p tcp --sport 110 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  49. # connexions LAN-Internet (imap)
  50. iptables -A FORWARD -p tcp --dport 143 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  51. iptables -A FORWARD -p tcp --sport 143 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  53. # connexions LAN-Internet (smtp)
  54. iptables -A FORWARD -p tcp --dport 25 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  55. iptables -A FORWARD -p tcp --sport 25 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  58. ## Permet à l'ensemble du LAN de dialoguer sur internet avec la même adresse IP
  59. iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE


 
 
Voici ce que donne iptables -L -v -n:

Code :
  1. Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  2. pkts bytes target     prot opt in     out     source               destination       
  4. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  5. pkts bytes target     prot opt in     out     source               destination       
  6.     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:21 state NEW,RELATED,ESTABLISHED
  7.     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:21 state RELATED,ESTABLISHED
  8.     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:20 state RELATED,ESTABLISHED
  9.     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:20 state ESTABLISHED
  10.     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:110 state NEW,RELATED,ESTABLISHED
  11.     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:110 state RELATED,ESTABLISHED
  12.     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:143 state NEW,RELATED,ESTABLISHED
  13.     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:143 state RELATED,ESTABLISHED
  14.     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:25 state NEW,RELATED,ESTABLISHED
  15.     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:25 state RELATED,ESTABLISHED
  17. Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  18. pkts bytes target     prot opt in     out     source               destination


 

Reply

Marsh Posté le 23-05-2009 à 11:53:06    

C'est grave docteur?

Reply

Marsh Posté le 23-05-2009 à 12:01:03    

ca à l'air juste mais je me demande si il ne faut pas que tu ouvres aussi le 465 pour le smtp.
 
Liste des ports: http://fr.wikipedia.org/wiki/Liste_des_ports_logiciels

Message cité 1 fois
Reply

Marsh Posté le 23-05-2009 à 12:05:59    

ogaby a écrit :

ca à l'air juste mais je me demande si il ne faut pas que tu ouvres aussi le 465 pour le smtp.
 
Liste des ports: http://fr.wikipedia.org/wiki/Liste_des_ports_logiciels


 
Je viens de rajouter ça:

Code :
  1. iptables -A FORWARD -p tcp --dport 465 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  2. iptables -A FORWARD -p tcp --sport 465 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


 
Mais aucune différence!! De toute façon ça ne marche pas pour le pop3 ni pour quoi que ce soit d'autre d'ailleurs...

Reply

Marsh Posté le 25-05-2009 à 18:05:04    

Au secours ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed