Discussion :

[spyker]

Bonjour,

J'ai installer et configurer IpCop mais après 2 jours d'essais infructueux je n'arrive pas à faire de règles correctes avec IPTables pour une appli utilisant Oracle (d'après ce que j'ai compris, ca fait une requête sur le port 1521 puis ca récupère depuis un autre port).

Mon réseau est fait comme ca :



FIREWALL = IPCOP
192.168.22.11 = eth0 (GREEN)
192.168.99.2 = eth1 (RED)
L'appli est dans la DMZ en 192.168.30.1
La BDD est dans le LAN en 192.168.22.1


Donc dans cette idée j'aimerai (corrigez moi si c'est faux) ouvrir le port 1521 de la machine 192.168.22.1 (connectée sur le eth0 de mon IPCOP) et tout ouvrir dans l'autre sens.

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 1521 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Les règles ci-dessus me permettent d'ouvrir une connexion en telnet sur le port 1521 de la machine 192.168.22.1 mais mon appli ne fonctionne pas.


Merci de votre aide

[Malette]

Bonjour,

Désolé de ne pas vous apporter de réponse directe, mais j'ai un soucis de compréhension quant aux règles de filtrage que vous avez conçues.

En faisant l'analyse des flux, pour moi cela représente les flux suivants:

Appli Web -> eth1 -> FW -> eth0 -> BDD Oracle

et

BDD Oracle -> Eth0 -> FW -> Eth1 -> Appli Web

Je ne maitrise pas bien la syntaxe d'Iptables mais dans la deuxième règle, l'established et related se fait pour moi dans le sens Bdd Oracle -> Appli Web, donc l'input serait Eth0 non ?

Quant à la connection telnet, qu'avez vous comme retour ? Pouvez-vous lancer un analyseur de trames comme Wireshark pour vérifier que la règle conçue fonctionne correctement ?

[spyker]

En faisant l'analyse des flux, pour moi cela représente les flux suivants:

Appli Web -> eth1 -> FW -> eth0 -> BDD Oracle

et

BDD Oracle -> Eth0 -> FW -> Eth1 -> Appli Web

Je ne maitrise pas bien la syntaxe d'Iptables mais dans la deuxième règle, l'established et related se fait pour moi dans le sens Bdd Oracle -> Appli Web, donc l'input serait Eth0 non ?

Quant à la connection telnet, qu'avez vous comme retour ? Pouvez-vous lancer un analyseur de trames comme Wireshark pour vérifier que la règle conçue fonctionne correctement ?

J'ai fait la modification de sens pour la seconde regle.
J'ai toujours une connexion Telnet sur ma BDD mais mon appli ne se lance pas.

Je regarde pour WireShark

[troumad]

Chaque fois que je fais une redirection, je rajoute une régle pour accepter une entrée

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth1 -p tcp --dport 1521 -j ACCEPT

Je vois que tu ne l'as pas mise.

Mais, est-ce utile ?

[spyker]

Chaque fois que je fais une redirection, je rajoute une régle pour accepter une entrée

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth1 -p tcp --dport 1521 -j ACCEPT

Je vois que tu ne l'as pas mise.

Mais, est-ce utile ?

A mon avis ce n'est pas utile puisque INPUT est en ACCEPT pour tout.

[troumad]

A mon avis ce n'est pas utile puisque INPUT est en ACCEPT pour tout.

Oups !
TU ne protèges pas plus ! Il m'a semblé évident que les premières règles étaient en DROP, donc je ne les ai pas plus regardé que ça

[Malette]

Alors si tu nous dis que cette règle est en accept:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -P INPUT DROP

et vu que les autres règles ont l'air d'être en accept aussi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 1521 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Cela veut dire que ton FW ne filtre rien, et doit être transparent au niveau des flux.

Cela n'est peut être pas un problème de FW, ta connection telnet tu le fais bien depuis ton serveur Web, ce n'est pas un problème de routage ?

Je suppose que tu as vérifié la config de ton appli, mais peut être sinon une faute de frappe ?

[spyker]

Je n'y connais pas grand chose en règles de FW.
Visiblement mes premières règles ne sont pas bonnes.

Que me conseillez vous comme règles pour bloquer tout dans le sens DMZ -> LAN sauf le port 1521 et autoriser tout dans le sens LAN -> DMZ.

[troumad]

Tu veux protéger la DMZ de quoi et comment ?
On dirait que tu veux protéger le LAN de la DMZ avec ce que tu dis !

Je bloquerais tout vers la DMZ et peut-être pas grand chose de la DMZ vers le reste du monde. Non ?

[spyker]

Effectivement je souhaite protéger le LAN de la DMZ.
J'héberge des services dans la DMZ (uniquement les ports utiles sont ouverts - 21,25,80) et si jamais quelqu'un arrive à y rentrer je voudrai lui mettre encore une barrière avant d'être dans le LAN.