configuration iptables pour DMZ

configuration iptables pour DMZ - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 19-11-2007 à 16:52:25    

Salut à tous,
 
je suis en train de simuler avec des vmwares la configuiration de ce réseaux
http://wguizani.free.fr/reseaux.jpg
les machines sont toutes sur des ubuntu-serveur sauf les deux postes admin et attaquant qui sont en xubuntu.
 
J'ai plusieurs contraintes à respecter :  
- mes machines internet à mes réseaux doivent pouvoir se pinguer et pinguer l'extérieur du réseaux
- serveur web accessible sur le port 80 aussi bien de l'intérieur que l'extérieur de mon réseau
- poste admin peut se connecter au serveur web sur le port 8080 pour l'administrer
- serveur web se connecte au serveur base de donnée sur le port 3308
 
j'aurais besoin d'un peu d'aide pour la configuration de iptables sur les deux firewall parce que je galère un peu.
 
au niveau adressage je n'ai pas de problème, si je n'active pas iptables mes 5 machines peuvent se pinguer entre elles mais pas la machine attaquante (normal pas de nat)
 
voici mon plan d'adressage que j'utilise pour ma simulation :  
réseau Internet 123.0.0.0/8
réseau DMZ 172.17.0.0/24 passerelle 172.17.0.254
réseau Serveurs 172.16.8.0/24  passerelle 172.16.8.254
réseau Administration 192.168.0.0 passerelle  192.168.0.254
 
Poste attaquant          Eht0    123.99.99.99  
Pare-Feu Externe  Eth1  123.4.5.6  
Pare-Feu Externe  Eth2  172.17.0.254  
Serveur Web           Eth1   172.17.0.80  
Pare-Feu Interne  Eth1  172.17.0.2  
Pare-Feu Interne  Eth2  172.16.8.254  
Pare-Feu Interne  Eth3  192.168.0.254  
Serveur de BD           Eth1   172.16.8.8  
Poste d’Administration  Eth0 192.168.0.10
 
 
pour le moment, sur le firewall externe j'ai fait ceci
 

Code :
  1. # Vidage des tables
  2. iptables -F
  3. iptables -X
  4. iptables -t nat -F
  5. iptables -t nat -X
  6. # bloquage de tout par defaut
  7. iptables -P INPUT DROP
  8. iptables -P FORWARD DROP
  9. iptables -P OUTPUT DROP
  10. # Mise en place du nat
  11. iptables -t nat -A POSTROUTING -s 172.17.0.0/24 -o eth1 -j MASQUERADE
  12. iptables -t nat -A POSTROUTING -s 172.16.8.0/24 -o eth1 -j MASQUERADE
  13. iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
  14. # descativation du filtrage sur le loopback
  15. iptables -A INPUT -i lo -j ACCEPT
  16. # autorisation de ICMP pour le ping
  17. iptables -A INPUT -p icmp -j ACCEPT
  18. iptables -A OUTPUT -p icmp -j ACCEPT
  19. # Acces serveur web
  20. iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.80:80
  21. iptables -A FORWARD -i eth2 -p tcp --dport 80 -j ACCEPT
  22. iptables -t nat -A POSTROUTING -p tcp -dport 80 -o eth1 -j MASQUERADE


avec ceci sur le firewall extern et la config par défaut sur le firewall interne, je n'arrive à faire des pings qu'à l'intérieurs de mes sous-réseaux, entre les sous réseaux admin et serveur, mais pas avec le réseaux DMZ ou avec l'extérieur
et même mon serveur web n'est pas accessble sur le port 80 par mes deux postes admin et attaquant.
 
Quelqu'un peut m'aider rapidement, je deviens fou et je doit faire ça finir ça pour mardi soir.
 
merci d'avance
Wad

Reply

Marsh Posté le 19-11-2007 à 16:52:25   

Reply

Marsh Posté le 19-11-2007 à 17:14:40    

Elle est complète là ta conf ?

Reply

Marsh Posté le 19-11-2007 à 17:17:06    

pour le firewall externe ouais, j'ai oublié quelque chose ?
 
sur le FW interne je l'ai juste activé pour le moment mais j'ai pas touché à la configuration encore

Reply

Marsh Posté le 19-11-2007 à 17:36:34    

hmmmmm pourquoi 2 FW ???


---------------
------------------------------------------
Reply

Marsh Posté le 19-11-2007 à 18:13:30    

parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.

Reply

Marsh Posté le 19-11-2007 à 18:14:42    

wadcyr8_197 a écrit :

parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.


 
 
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ :o


---------------
------------------------------------------
Reply

Marsh Posté le 19-11-2007 à 18:17:49    

j'ai pas dis le contraire, mais à l'origine on utilisait deux firewall
maintenant on en prend qu'un plus par soucis d'économie.
mais en l'occurrence, là n'est pas mon problème :d


Message édité par wadcyr8_197 le 19-11-2007 à 18:18:22
Reply

Marsh Posté le 19-11-2007 à 18:18:45    

ah oki .... c'est donc une "vieille structure" que tu as là !!!


Message édité par djalex le 19-11-2007 à 18:18:56

---------------
------------------------------------------
Reply

Marsh Posté le 19-11-2007 à 18:21:08    

appelle là vieille si tu veux, mais là n'est pas mon problème donc pour l'instant ce point là m'importe peu.

Reply

Marsh Posté le 19-11-2007 à 19:10:34    

Concernant la conf ouais j'ai l'impression qu'il manque des choses tel que déjà l'output pour lo
 

djalex a écrit :


 
 
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ :o


 
Ya deux modèles principaux : le firewall à 3 pates ou le firewall front end/back end qu'on trouve ici. Au final c'est similaire, faut voir en fonction de la charge, de la protection voulue (typiquement on met pas le même FW en front et en back :D pour une sécu accrue) etc.

Reply

Marsh Posté le 19-11-2007 à 19:10:34   

Reply

Marsh Posté le 19-11-2007 à 19:57:13    

oui, pour lo c'est corrigé j'ai oublié de la remettre.
mais je ne pense pas que ça change grand chose. Pour le moment mon principale objectif c'est pouvoir lancer des ping entre les différents postes et rendre le serveur web accessible.

Reply

Marsh Posté le 19-11-2007 à 20:00:35    

Décrit les flux à faire passer et transcrit le en syntaxe iptables en regardant bien le fonctionnement de chaque chain et en pensant aux paquets entrant et sortant

Reply

Marsh Posté le 19-11-2007 à 20:22:35    

ben c'est ce que j'essaie de faire mais je vois pas trop comment faire ma chose juste pour un ping
normalement j'ai mon icmp qui doit entrer et sortir ou j'oublie quelque chose ?

Reply

Marsh Posté le 19-11-2007 à 20:26:12    

Là ta règle dit que les paquets icmp (donc pas que le ping) peuvent sortir du firewall ou arriver sur le firewall.
Ils peuvent pas traverser.
Donc une machine de la DMZ peut pinger le firewall et une machine du net peut la pinger aussi.

Reply

Marsh Posté le 19-11-2007 à 20:40:08    

donc il faudrait que je rajoute un forward aussi pour icmp
après pour la spécification du ping c'est des icmp-type 0 et 8 non ?

Reply

Marsh Posté le 19-11-2007 à 20:42:13    

oui :)

Reply

Marsh Posté le 19-11-2007 à 21:09:46    

il me manque autre chose, parce que là maintenant
depuis le serveur web :
je ping les deux FW, mais pas le serveur BD ni les deux postes attaquant et administrateur
 
en faisant un tcpdump ça confirme ce que je pensais, le FW externe est toujour bloquant et je comprends pas pourquoi ?


Message édité par wadcyr8_197 le 19-11-2007 à 21:09:58
Reply

Marsh Posté le 19-11-2007 à 23:41:51    

quelqu'un a une idée de pourquoi ça marche pas ???

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed