Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

FWbuilder : config ok et securisee ?? Q sur le NAT

Sharantyr

Hello,

Bon j'avance un peu dans mes tests, j'ai installé et configuré fwbuilder, il tourne impec avec iptables.

J'ai quelques ptites questions:

Déjà voila ma config, dites moi ce que vous en pensez:

Est ce que la configuration est sure ou faut que je débranche vite vite mon cable reseau ? 😃

Qlq explications au passage:

sharabox c mon fedora7
192.169.1.0/24 c destiné a etre mon reseau local sur carte reseau eth0
192.168.1.0/24 c le réseau local entre sharabox et ma neufbox sur eth1

Voila et sinon (la je vais faire une ptite pause ^^) quelqun aurait quelques pistes à me donner pour débuter dans le domaine du NAT dans l'optique de partager ma connection de ma neuf box sur mon réseau 192.169.1.0/24 ? (via fwbuilder bien entendu).

NeufBox (192.168.1.1) <=> sharabox (fedora7)(192.168.1.2) <=> sharabox (fedora7)(192.169.1.1) <=> réseau local 192.169.1.0/24

Ah et oui au fait, dernière question, est-ce qu'il est utile de nettoyer(vider) le fichier de conf iptables (vu qu'a priori fwbuilder défini toutes les regles dont j'ai besoin, ca m'embete d'avoir des regles en plus dont je n'ai pas vraiment connaissance).

voila un cat iptables suivi d'un petit ./iptables -L pour vous donner une idée.

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW 
DROP       0    --  anywhere             anywhere            state INVALID 
ACCEPT     0    --  anywhere             anywhere            state NEW 
Cid46B46B8B3132.0  0    --  192.169.1.0/24       anywhere            state NEW 
ACCEPT     0    --  192.168.1.2          anywhere            state NEW 
ACCEPT     0    --  192.169.1.1          anywhere            state NEW 
DROP       0    --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW 
DROP       0    --  anywhere             anywhere            state INVALID 
ACCEPT     0    --  192.168.1.2          anywhere            state NEW 
ACCEPT     0    --  192.169.1.1          anywhere            state NEW 
DROP       0    --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW 
DROP       0    --  anywhere             anywhere            state INVALID 
ACCEPT     0    --  anywhere             anywhere            state NEW 
ACCEPT     0    --  anywhere             192.169.1.0/24      state NEW 
ACCEPT     0    --  anywhere             anywhere            state NEW 
DROP       0    --  anywhere             anywhere            

Chain Cid46B46B8B3132.0 (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp ttl-zero-during-transit 
ACCEPT     icmp --  anywhere             anywhere            icmp ttl-zero-during-reassembly 
ACCEPT     icmp --  anywhere             anywhere            icmp type 0 code 0 
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable 
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports http,ssh,microsoft-ds

Merci =)

da_norf

La règle 2 me semblent être une faille potentielle de sécurité... : si, par miracle, un intrus arrive à prendre la main sur ta machine il fait ce qu'il veut sur ton LAN. Es-tu sûr qur ta machine doit ETABLIR beaucoup de connection vers le LAN et non juste en recevoir ?
Idem pour la 3 dans une moindre mesure... disons que l'intrus peut faire ce qu'il veut sur Internet en ton nom...

Ensuite, pour aller plus loin sur ton partage de connexion, encore faudrait-il savoir ce que tu veux faire exactement...
Si ton LAN n'a besoin d'utiliser que des protocoles standards (http, https, ftp), le plus simple me semble être de monter un proxy Squid sur ta machine sharebox, d'autoriser les connexion au Squid depuis l'interne et d'ouvrir les protocoles en sortie sur Internet. Pense également à permettre la résolution DNS (à moins que tes utilisateurs parlent couramment l'IP).

Sharantyr

Effectivement, je vais voir à autoriser uniquement dans le sens inbound alors?

En tout cas j'ai revu mes règles, et découvert l'option -v qui permets de s'y retrouver dans les règles, si tu veut y jeter un oeil ca serait sympa!

Et merci pour l'idée du proxy, je vais regarder de ce coté. (je rapelle je veut juste découvrir des trucs, rien faire en particulier, c'est pour mon experience personelle 🙂 )

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 3 name: DEFAULT side: source
    1    48            tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh state NEW recent: SET name: DEFAULT side: source
29984   11M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW
    1  1480 DROP       0    --  any    any     anywhere             anywhere            state INVALID
   53  4570 ACCEPT     0    --  lo     any     anywhere             anywhere            state NEW
  267 27014 ACCEPT     0    --  eth0   any     192.169.1.0/24       anywhere            state NEW
    7   336 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:webcache state NEW
  149 10984 DROP       0    --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
19205 9963K ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW
   20   800 DROP       0    --  any    any     anywhere             anywhere            state INVALID
  636 31078 ACCEPT     0    --  eth0   any     192.169.1.0/24       anywhere            state NEW
    0     0 ACCEPT     0    --  any    eth0    192.169.1.0/24       anywhere            state NEW
    0     0 DROP       0    --  any    any     anywhere             anywhere

Chain OUTPUT (policy DROP 3 packets, 3780 bytes)
 pkts bytes target     prot opt in     out     source               destination
38968   52M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW
    0     0 DROP       0    --  any    any     anywhere             anywhere            state INVALID
   53  4570 ACCEPT     0    --  any    lo      anywhere             anywhere            state NEW
   82 14341 ACCEPT     0    --  any    eth0    192.169.1.0/24       anywhere            state NEW
    0     0 ACCEPT     0    --  any    +       sharabox             anywhere            state NEW
  141 10502 ACCEPT     0    --  any    +       192.168.1.2          anywhere            state NEW
    0     0 ACCEPT     0    --  any    +       192.169.1.1          anywhere            state NEW
    0     0 Cid46B468F83132.0  tcp  --  any    any     anywhere             anywhere            tcp dpt:webcache state NEW
    0     0 DROP       0    --  any    any     anywhere             anywhere

Chain Cid46B468F83132.0 (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  any    any     anywhere             192.168.1.2
    0     0 ACCEPT     0    --  any    any     anywhere             192.169.1.1

D'ailleurs j'ai un petit bug avec le forwarding, je l'ai pourtant mis sur "activer" dans fwbuilder pourtant ca ne l'active pas, je dois faire manuellement :
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Alors que pourtant je vois bien dans mon script shell des règles fwbuilder que ces lignes y sont, je l'ai meme ajouté en prolog à executer à la fin du script mais rien n'y fait :/