[RESOLU] prb de connection au net

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

[RESOLU] prb de connection au net

Message par totoche » 06 Avr 2012 14:30

bonjour à tous

je finis d'installer mon pc avec shorewall sur lequel 4 interfaces sont câblés
etho -> net (192.168.1.2)
eth1 -> loc (192.168.10.1)
eth2 -> wifi
eth3 -> dmz


pour l'instant les seules interfaces qui m’intéresse sont eth0 et eth1

sur le fichier policy j'ai
loc net ACCEPT
fw loc ACCEPT
fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG


sur le fichier masq j'ai
eth0 eth1


sur les rules j'ai
COMMENT acces au net
#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT loc fw tcp 80
ACCEPT fw loc tcp 80
COMMENT acces à SSH
ACCEPT:ULOG loc fw tcp 2222
ACCEPT fw loc tcp 2222 - - 3/min:2
COMMENT Acces squid port 3128
#
ACCEPT fw net tcp 80
REDIRECT loc 3128 tcp 80
COMMENT Acces au WakeOnLan
ACCEPT net fw udp 7
#
COMMENT Acces au serveur de temps
ACCEPT loc fw udp 123
ACCEPT fw net udp 123
#
COMMENT Acces à WEBMIN
ACCEPT loc fw tcp 10000
ACCEPT fw loc tcp 10000
#
COMMENT acces à SAMBA
SMB/ACCEPT $FW loc
SMB/ACCEPT loc $FW
#
COMMENT acces au ping
ACCEPT loc fw icmp echo-request
ACCEPT dmz loc icmp echo-request
ACCEPT loc dmz icmp echo-request
ACCEPT loc net icmp echo-request
ACCEPT fw net icmp echo-request
#
COMMENT Accept DNS
ACCEPT loc $FW tcp 53
ACCEPT loc $FW udp 53
ACCEPT net $FW tcp 53
ACCEPT net $FW udp 53
COMMENT Autorise les MAJ DDNS
ACCEPT loc $FW tcp 953
#
COMMENT Autorise le failover dhcp
ACCEPT loc $FW tcp 647
#
COMMENT Pour le serveur DHCP en LOCAL
ACCEPT $FW loc udp 67
ACCEPT $FW loc udp 68
ACCEPT loc $FW udp 67
ACCEPT loc $FW udp 68
#
COMMENT On interdit le port 113 rester ouvert
DROP net $FW tcp 113
DROP net $FW udp 113


je n'arrive pas à sortir. Je me pose la question dois je rajouter une route ??
route add -net 192.168.10.1/24 gw 192.168.1.1


ou il me manque une règle dans le shorewall ??

merci d'avance pour éclairer ma lanterne
Dernière édition par totoche le 09 Avr 2012 05:21, édité 1 fois.
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: prb de connection au net

Message par jdh » 06 Avr 2012 14:48

Quelle est la route par défaut ? (ip route)

Est ce que l'ip forward est actif ?

visualisation : cat /proc/sys/net/ipv4/ip_forward
configuration : dans shorewall.conf mettre IP_FORWARDING=Yes

(Les policy sont un peu laxistes ...)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: prb de connection au net

Message par totoche » 06 Avr 2012 15:24

salutatoi

pour le route -n
Code : Tout sélectionner
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.30.0    0.0.0.0         255.255.255.0   U     0      0        0 eth3
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0


jdh a écrit :Est ce que l'ip forward est actif ?

IP_FORWARDING=keep je l'est mis à yes

j'étais persuader de l'avoir mis à yes tout comme /proc/sys/net/ipv4/ip_forward j'avais lancer la cmd echo 1 >> /proc/sys/net/ipv4/ip_forward

je reteste tout ça
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: prb de connection au net

Message par totoche » 06 Avr 2012 15:32

pour(ip route)
192.168.20.0/24 dev eth2 proto kernel scope link src 192.168.20.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
192.168.30.0/24 dev eth3 proto kernel scope link src 192.168.30.1
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.50
default via 192.168.1.1 dev eth0

les policy c'est volontaire que je les est mis light (pour l'instant)

j'ai rien qui sort sur eth0 :evil:

petite erreur sur l'ip de eth0
eth1 -> loc (192.168.10.1) est fausse

la bonne eth1 -> loc (192.168.10.50)
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: prb de connection au net

Message par jdh » 06 Avr 2012 16:19

Il manque les 2 derniers fichiers de conf : interfaces et zones.


(Dans rules, vous indiquez souvent la règle retour ce qui est inutile.)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: prb de connection au net

Message par totoche » 06 Avr 2012 16:45

pour le fichier interfaces
net eth0 detect routefilter,norfc1918,logmartians,nosmurfs,tcpflags,blacklist
loc eth1 detect dhcp,tcpflags,nosmurfs
dmz eth2 detect
wifi eth3 detect


pour le fichier zone
fw firewall
net ipv4
loc ipv4
dmz ipv4
wifi ipv4


jdh a écrit :Dans rules, vous indiquez souvent la règle retour ce qui est inutile.


par exemple webmin ??
Code : Tout sélectionner
ACCEPT   loc   fw   tcp   10000
ACCEPT    fw      loc    tcp     10000


je vire celle là
ACCEPT fw loc tcp 10000
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: prb de connection au net

Message par jdh » 06 Avr 2012 21:17

net eth0 detect routefilter,norfc1918,logmartians,nosmurfs,tcpflags,blacklist

Ah beh oui, évidemment, ça va beaucoup moins bien marcher ...

Il n'y aurait pas là un paramètre vraiment en trop ?

Un test de base, le ping de la gateway, vous aurait déjà renseigné !

Sinon vous avez compris ce que je voulais dire par ligne retour : supprimez ces lignes inutiles
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: prb de connection au net

Message par totoche » 07 Avr 2012 07:26

je suis tout à fait d'accord sur le test de la gateway je le fait à chaque fois que je teste une modification
mais là nada aucun résultat pour le ping le neant parfait

jdh a écrit :Sinon vous avez compris ce que je voulais dire par ligne retour : supprimez ces lignes inutiles


oui je pense

je vais virer : ACCEPT fw loc tcp 10000 pour webmin par exemple

je vais tester les options de eth0
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: prb de connection au net

Message par jdh » 07 Avr 2012 07:44

Le test de la gateway ne peut pas fonctionner à cause d'un paramètre.
Et le nom même du paramètre devrait 'sonner' ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: prb de connection au net

Message par totoche » 07 Avr 2012 08:14

log de shorwall
Apr 7 10:49:56 firewall Shorewall:loc2net:REJECT: IN=eth1 OUT=eth0 MAC=00:0f:c9:05:58:b1:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.1.1 LEN=61 TOS=00 PREC=0x00 TTL=63 ID=62400 CE PROTO=UDP SPT=63714 DPT=53 LEN=41


apparemment c'est bon
je rentre bien sur eth1 avec la src= 192.168.10.5 pour sortir sur eth0 dst=192.168.1.1 qui est la box sauf que c'est rejeter

de plus j'ai virer l'option "norfc1918" dans le fichier interface sur eth0 car j'ai une adresse statique sur eth0 (192.168.1.2)
nada toujours rien

j'ai tester en virant les options de eth0 &1sauf dhcp pour eth1
idem pas de net

pour le fichier policy j'ai mis
fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron