bellmare
Bonjour a tous,
Je me suis lancé depuis peu dans la mise en place d'un serveur de sécurité sous Fedora 11.Trois ans que j'ai pas fait cela ( rires ), je susi un peu perdu et j'espère que vous pourrez m'aider.
Je vous expose mon problème.J'ai actuellement deux cartes réseaux sur mon serveur.Le but est de mettre en place un bastion.Ma première carte eth0 est reliée au modem routeur de la société, la seconde eth1 est reliée a mon lan.Le serveur linux se trouve entre lesdeux
l'adresse du routeur modem est 192.168.178.1
voici la config de ma carte eth0 (reliée a internet) en adressage statique
@ 192.168.178.2
MSR 255.255.255.0
gw 192.168.178.1
DNS 192.168.178.1
config eth1
@ 172.16.0.1
MSR 255.255.255.0
gw 172.16.0.1
DNS 172.16.0.1
pour eth1, j'ai mis en place un dhcp avec les paramètres suivant
@ du dhcp : 172.16.0.1
plage 172.16.0.100~150
MSR 255.255.255.0
DNS 172.16.0.1
Le DHCP semble fonctionner et mes postent clients récupèrent une adresse
Le problème : pas de connexion internet pour les postes clients
j'ai donc fait quelques recherches et je pense que le pb vient de iptables et du nat, masquerade, enfin je pense
j ai activé l 'ip forwarding en mettant la valeur a 1
pour le reste j ai essayé pleins de trucs mais en vain 🙂
J'espère que vous pourrez m'aider en validant ou pas ma configuration actuelle et en me donnant des éléments de réponse pour "partager" ou diffuser cette connexion internet.
Refuznik
bellmare
voila pour iptables
je viens de créer ce nouveau fichier très basique afin de le compléter au fur et a mesure.mais comme pour le moment je suis bloqué par ce pb de cartes reseaux 🙂
je pense qu'il faut rajouter des règles de masquerade et/ou de nat mais je n'ai pas encore trouvé les bonnes 🙂
#!/bin/sh
# On efface les règles précédentes
iptables -t filter -F
iptables -t filter -X
# On bloque par défaut tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# On ne ferme pas les connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
#Accepter le ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# blocage du flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
# empecher scan des ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#gestion des ports
# iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
# iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
Refuznik
Juste avant de faire quoique ce soit. As tu installé bind pour gérer sur ta passerelle ton propre dns ? Essaie de voir l'adresse dns récupérer par tes clients, en effet tes clients doivent avoir comme dns 192.168.178.1 (si tu n'as pas mis bind sinon il ne peuvent pas sortir par ta box).
Pour un masquerade :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
et un echo 1 > /proc/sys/net/ipv4/ip_forward devrait suffire.
bellmare
pour mes clients le dhcp leur attribut les DNS de mon provider
par exemple une machine aura :
@ 172.16.0.100
MSR 255.255.255.0
gw 172.16.0.1
DNS provider 1
DNS provider 2
j'avoue que je m y perd un peu avec ses DNS je ne sais plus quoi mettre et a quelle place (rires), j'en ai de partout lol
bellmare
pour ce qui est de bind, je ne sais pas trop comment le configurer, je ne comprend pas trop ce qu'il faut mettre dans la config en fait:
zone "votredomaine.com" IN { # ??????
type master;
file "/var/named/votredomaine.com.zone";
allow-update { none; };
};
... j'ai juste les deux adresses DNS de mon FAI, et mon IP fixe sur internet
Refuznik
Si ça ne te dérange pas d'utiliser le dns de ton provider et que tes postes clients le récupère correctement pas de problème laisse tomber bind.
Contente toi simplement alors de rajouter ce que j'ai donné et fait un test (n'oublie pas de redemarrer les services connexion et iptable avant).
.
bellmare
je vais utiliser bind.ca me parait plus propre.
je fais ces modifs et je vous tiens au courant
Refuznik
Tu peux tester sans bind déja pour voir si tout fonctionne. Que donne un ifconfig -a sur un de tes postes client ?
Pour bind voici un tuto
http://doc.fedora-fr.org/wiki/Configuration_d'un_serveur_DNS
bellmare
cela ne fonctionne toujours pas je ne comprend pas....je n utilise pas le bind pour le moment, j ai appliqué mes règles iptables avec un fichier dans init.d
mes clients windows recoivent par le dhcp ... je pense que le pb vient de la carte eth0 connectée au modem routeur...
je peux pinger 192.168.178.2 a partir de mes clients en dhcp sur 172.16.0.x et inversement mais pas de connexion internet
bellmare
je fait un ipconfig dans une console windows
mes postent client obtiennent :
DNS SUFFIX "Nom de l entreprise"
IP ADDR 172.16.0.x
MSR 255.255.255.0
default gw172.16.0.1
leDNS est 172.16.0.1
j ai essayé avec comme DNS ceux de mon provider et ca ne passe pas non plus
bellmare
voila ma table de routage
route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
bellmare
avez-vous de nouveaux éléments de réponse a me fournir ou des suggestions?
Pour ma part je vais essayer en mettant le modem routeur en serveur DHCP et en mettant eth0 en DHCP, ou alors j'utilise un modem et je configure une interface ppp0, je ne sais pas trop quoi faire, je pense être pas loin car à l'heure actuelle j ai des paquets qui circulent sur mes deux cartes en eth0 et eth1,mais toujours pas d 'internet
