donc ce genre de piratage s'appelle le spoofing, merci pour l'info.
Donc si j'ai bien compris je ne devrai jamais ecrire une ligne en input des sources provenant de 127.0.0.1 ?
Je suis pourtant bloqué depuis bien longtemp avant sur la configuration de mon parefeu.
j'en suis encore a la config basique, a savoir celle-ci :
# Suppression de toutes les chaînes pré-définies de la table FILTER
iptables -t filter -F
# Suppression de toutes les chaînes utilisateur de la table FILTER
iptables -t filter -X
# Par defaut, toute les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Autorise le port 6000 sur Phoenix (phoenix0 et phoenix1), afin de supporter
# le export display pour les besoins de la conférence
# En temps normal, ces lignes DOIVENT êtres supprimées!!!
#iptables -t filter -A OUTPUT -p 6 --sport 6000 -j ACCEPT ; # -p 6 <=> protocole X11
#iptables -t filter -A OUTPUT -p tcp --sport 6000 -j ACCEPT ; # -p tcp <=> protocole TCP
#iptables -t filter -A INPUT -p 6 --dport 6000 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 6000 -j ACCEPT
# Autorise l'interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
# Autorise les connexions avec le réseau 192.168.0.0/24 connecté à l'interface eth0
iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.192/26 -d 192.168.1.192/26 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 192.168.1.192/26 -d 192.168.1.192/26 -j ACCEPT
# Autorise les connexions avec internet uniquement en direction et venant des services
# HTTP (80/TCP) et HTTPS (443/TCP)
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 443 -j ACCEPT
# sauvegarde les regles
service iptables save
# redemarrage du service
service iptables restart
je précise que c'est le script d'olivieraj mis à jour pour mon pc, et bien je peux pinguer sur les 2 interfaces de ma machine comme annoncé dans le tuto, mais pas d'internet.
Je suis obligé de rajouter ceci :
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p udp --sport 53 -j ACCEPT
et ce qui me dérange dans ces 4 lignes, c'est que j'autorise les paquets en entrée sur la carte orientée coté internet depuis tout (donc internet) sur les ports UDP et TCP 53, et que j'autorise ces paquets à sortir sur la carte coté internet vers tous les réseaux (et donc internet) mais mon serveur DNS ecoute seulement 127.0.0.1 et 192.168.1.251.
C'est surement moi, mais je ne trouve pas cela correct et surtout pas maitrisé.
Quelqu'un aurait une slotution ou plutot une explication a me proposer pour que je comprenne bien pourquoi je suis obligé de faire (et ce que je fais mal) ??
J'ai pourtant continuer mon avancement dans le tuto d'olivieraj jusqu'au suivi de connexion (les fameux ip_conntrack) ou philippe_PMA m'a bien aidé pour savoir si ces modules étaient ou non disponible sur ma machine,
J'ai donc suivi le tuto jusqu'à arriver à un script comme ca :
Chargement des modules du suivi de connexion
modprobe ip_conntrack ; # Module principal du suivi de connexion
#modprobe ip_conntrack_ftp ; # Module du suivi de connexion FTP
#modprobe ip_conntrack_irc ; # Module du suivi de connexion IRC
# Suppression de toutes les chaînes pré-définies de la table FILTER
iptables -t filter -F
# Suppression de toutes les chaînes utilisateur de la table FILTER
iptables -t filter -X
# Par defaut, toute les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Autorise l'interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
# Autorise les connexions avec le réseau 192.168.0.0/24 connecté à l'interface eth0
iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.192/26 -d 192.168.1.192/26 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 192.168.1.192/26 -d 192.168.1.192/26 -j ACCEPT
# Autorise les connexions avec internet uniquement en direction et venant des services
# HTTP (80/TCP) et HTTPS (443/TCP)
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 443 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.192/26 -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.192/26 -p udp --sport 53 -j ACCEPT
#suivi de connexion sur interface internet
iptables -A OUTPUT -o eth1 -s 192.168.0.251 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth1 -s 0.0.0.0/0 -d 192.168.0.251 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
################################################################################
# IP masquerading
################################################################################
# Chargement des modules du NAT
modprobe iptable_nat ; # Module principal du NAT
#modprobe ip_nat_ftp ; # Module du NAT FTP
#modprobe ip_nat_irc ; # Module du NAT IRC
# Suppression de toutes les chaînes pré-définies de la table NAT
iptables -t nat -F
# Suppression de toutes les chaînes utilisateur de la table NAT
iptables -t nat -X
# Par defaut, toute les paquets de la table NAT sont ACCEPTES
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# Autorise les paquet à aller d'une interface réseau à l'autre
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.192/26 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.192/26 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Demande à la table NAT de modifier les paquets sortants
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.192/26 -j MASQUERADE
# Activation du NAT dans le kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
# sauvegarde les regles
service iptables save
# redemarrage du service
service iptables restart
j'ai commenté les lignes modprobe ip_nat_ftp et mobprobe ip_nat_irc car je ne prévois pas de serveur ftp sur ma machine, et je ne fais pas d'irc.
le souci est celui-ci lorsque je fais un sh -x mon_script.sh
[root@srvr ~]# sh -x /mon_script.sh
+ modprobe ip_conntrack
FATAL: Module ip_conntrack not found.
......
.....
.....
+ modprobe iptable_nat
......
ce qui veut donc dire que le module ip_conntrack n'est pas trouvé alors que l'autre oui.
Pourtant toutes les commandes proposées par philippe_PMA dans le #14 est exactement ce que j'ai quand je les fais sur ma machine.
Vous voyez pourquoi ???