[iptables] problème de configuration (résolu)

lekaf974 · Message par **lekaf974** » dim. 30 juin 2013, 19:03

Salut,
J'ai récemment réinstallé un serveur et profité pour le passer de Ubuntu à Archlinux dont voici la configuration :

Code : Tout sélectionner

Interfaces : 
- (wifi) wlp6s1 : ip 192.168.1.253 (fixe)
- (lan) enp6s8 : ip 192.168.0.1 (fixe)
Services :
- lan : dhcpd, samba
- wifi : sshd

Dans le cadre d'un projet de création de site internet, j'ai installé mariadb, litghttpd et php pour les utiliser avec Wordpress et je profite pour sécuriser le serveur. Je souhaite mettre en place des règles iptables pour n'autoriser l'accès au SSH, WEB et MYSQL qu'à une seule IP (192.168.1.68) via le wifi et Samba au réseau 192.168.0.0/24 et la possibilité pour le serveur à faire des mises à jour.
Avec les règles actuelles j'obtiens les résultats suivant :

Code : Tout sélectionner

- serveur : connexion internet pour MAJ OK
- lan : connexion aux dossiers partagés pas OK
- wifi : ssh, web, mysql pas OK

La liste des règles que j'utilise :

Code : Tout sélectionner

# IPTABLES
IPT="/usr/bin/iptables"

# Network interface
IF_WAN="wlp6s1"
IF_LAN="enp6s8"
IF_LO="lo"

# Interface IP
IP_WAN="192.168.1.253"
IP_LAN="192.168.0.1"

# Admin IP
IP_ADMIN="192.168.1.68"

# Network
NET_LAN="192.168.0.0/24"
NET_WAN="192.168.1.0/24"
NET="0.0.0.0/0"

# Flush existing rules
$IPT -F
$IPT -X

# Drop all traffic by default
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Allow local interface traffic
$IPT -A INPUT -i $IF_LO -j ACCEPT
$IPT -A OUTPUT -o $IF_LO -j ACCEPT

# Allow existing connection
$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Allow ping in from LAN and WAN_ADMIN
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN \
			-p icmp --icmp-type 8 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $IF_WAN -s $IP_ADMIN -d $IP_WAN \
			-p icmp --icmp-type 8 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

# Allow ping out
$IPT -A OUTPUT -p icmp --icmp-type 8 -m conntrack \
			--ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
			
# Allow out ports domain, http(s), ftp for update
$IPT -A OUTPUT -o $IF_WAN -s $IP_WAN -d $NET -p tcp \
							-m multiport --dports 53,80,443,20,21 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $IF_WAN -s $IP_WAN -d $NET -p udp  --dport 53 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT	

# Allow Samba for LAN network only
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN -p tcp \
							-m multiport --dports 139,445 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN -p udp \
							-m multiport --dports 139,445 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
							
# Allow ssh and web service for admin wan #SSH on 3122
$IPT -A INPUT -i $IF_WAN -s $IP_ADMIN -d $IP_WAN -p tcp \
							-m multiport --dports 3122,80,443,3306 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

Merci pour votre aide

widapit · Message par **widapit** » dim. 30 juin 2013, 22:46

Salut !

apparement tu as créé des règles pour samba et ssh dans les INPUT mais tu n'as pas précisé d'OUTPUT pour ces protocoles ...

lekaf974 · Message par **lekaf974** » dim. 30 juin 2013, 23:11

Merci widapit
J'ai tellement utilisé ufw dernièrement que j'avais oublié de rajouter les règles OUTPUT pour permettre le retour des demandes clients.

Arch Linux

Archlinux.fr [Forums]

[iptables] problème de configuration (résolu)

[iptables] problème de configuration (résolu)

Re: [iptables] problème de configuration

Re: [iptables] problème de configuration