Problème réseau multiples interfaces communiquantes

b1530p · Le 23/07/2015, à 17:28

Bonjour,

J'ai un problème colossal... J'ai navigué des jours entiers sur le net pour essayer de comprendre et de mettre en place plusieurs réseau distincts...
DMZ, règles iptables, etc... Rien à faire.

Actuellement j'ai un serveur avec 3 cartes réseau:
• Réseau 1 : 172.17.64.0/24
• Réseau 2 : 192.168.1.0/24
• Réseau 3 : 192.168.2.0/24

Sur le réseau 1, j'ai le modem (0.1) et le serveur (0.2)
Sur le réseau 2, j'ai le serveur (1.1), un WiFi sécurisé (1.2), un NAS (1.5) et plusieurs PC en DHCP (1.101-131)
Sur le réseau 3, j'ai le serveur (2.1) et un émetteur WiFi non sécurisé à courte portée (2.2) sur lequel il y a plusieurs PC en DHCP (2.201-231)

Le réseau 1 apporte Internet au serveur. C'est tout. Il n'y a pas d'autres appareils.
Le réseau 2 est le réseau d'entreprise réservé au personnel, il y a env. 30 appareils (NAS, WiFi, PCs, imprimantes, lecteurs CB, caisses enregistreuses, etc...).
Le réseau 3 est le réseau pour les clients et les représentants.

Le but recherché est :
• Donner un accès Internet complet au réseau 2
• Donner un accès Internet complet au réseau 3
• Le réseau 2 ne doit pas pouvoir communiquer avec le réseau 3 et 1
• Le réseau 3 ne doit pas pouvoir communiquer avec le réseau 2 et 1
• Le serveur doit pouvoir communiquer avec le réseau 1, 2 et 3

J'ai testé plusieurs règles iptables et commandes route, sans succès;
J'ai réussi à créer les 3 réseaux et ils ont accès à Internet, le problème c'est que les réseaux 2 et 3 peuvent communiquer entre-eux.

Quelqu'un de plus expérimenté que moi pourrait m'aider à empêcher que ces deux réseaux puissent communiquer ensemble?

Dernière modification par b1530p (Le 30/07/2015, à 10:11)

toutafai · Le 23/07/2015, à 22:10

Bonjour,
tu peux le faire par du routage, il suffit de ne pas indiquer de passerelle par defaut sur ton soureseau 2 et 3, et au contraire ne laisser que les route qu'ils doivent prendre pour atteindre les sous reseau autorisés

un petit cour/TP/corrigé pas mal fait ici

b1530p · Le 24/07/2015, à 10:09

Bonjour,

Merci pour ta réponse; je me suis penché sur ton tuto et d'autres sites* angl & fra sur l'outil route, mais j'ai de la peine à le comprendre; probablement encore trop novice avec ces outils.
J'ai essayé plusieurs commandes dont le retrait de la route par défaut et l'ajout de routes personnalisées pour les différentes interfaces réseau, mais à chaque fois;
• Ça n'a aucun effet
• Je fait sauter la connexion de toutes les interfaces
• Je n'ai plus d'accès Internet sur le serveur

Dans tout les cas les interfaces réseaux continuent de communiquer entre-elles ou plus rien ne fonctionne.

J'ai trouvé un sujet qui traite pas mal de commandes sur route mais ne m'a pas plus aidé...........

Si tu pouvais encore prendre cinq minutes pour m'aider (et m'expliquer car je suis pas fan de recevoir une solution sans comprendre son fonctionnement) ça serait vraiment sympa.
Je te donne mon script iptables et le route actuel de ma machine;

Script iptables

#!/bin/bash

## On sécurise le noyeau
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians ; echo 0 > /proc/sys/net/ipv4/ip_forward ; echo 1 > /proc/sys/net/ipv4/tcp_syncookies

## On flush iptables
iptables -F ; iptables -X ; iptables -t nat -F ; iptables -t nat -X ; iptables -t mangle -F ; iptables -t mangle -X ; iptables -t raw -F ; iptables -t raw -X

## Permettre aux connexions ouvertes de perdurer
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ; iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ; iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## On drop le trafic entrant
iptables -P INPUT DROP

## On accepte le trafic sortant
iptables -P OUTPUT ACCEPT

## On drop le trafic forward
iptables -P FORWARD DROP

## On accepte la boucle locale
iptables -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT ; #iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

## DNS
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -s 172.17.64.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 172.17.64.0/24 --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT

## SSH
iptables -A INPUT -p tcp -s 172.17.64.0/24 --dport 22 -j ACCEPT

## Activation du forwarding au niveau du kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

## On log pas les packets
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

#######

iptables -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth2 -s 0.0.0.0/0 -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

########

iptables -A FORWARD -i eth1 -o eth1 -j DROP
iptables -A FORWARD -i eth2 -o eth2 -j DROP

iptables -A FORWARD -i eth1 -o eth2 -j DROP
iptables -A FORWARD -i eth2 -o eth1 -j DROP

########

route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         172.17.64.1     0.0.0.0         UG    0      0        0 eth0
172.17.64.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth2

/etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
    address 172.17.64.254
    netmask 255.255.255.0

auto eth1
iface eth1 inet static
    address 192.168.0.1
    netmask 255.255.255.0

auto eth2
iface eth2 inet static
    address 192.168.1.1
    netmask 255.255.255.0

*autres sites consultés :
http://formation-debian.via.ecp.fr/ip.html
http://www.cyberciti.biz/faq/linux-route-add/

Dernière modification par b1530p (Le 30/07/2015, à 10:10)

b1530p · Le 30/07/2015, à 10:13

Un petit bump, dans l'espoir que quelqu'un de plus expérimenté que moi puisse m'aider à réaliser ceci?

tiramiseb · Le 31/07/2015, à 14:07

Salut,

Pour des problématiques de cette complexité, je te suggère d'utiliser Shorewall, qui sera plus facile à configurer (après avoir un peu appris comment il marche) que des règles de pare-feu manuelles.

En terme de routage, je ne suis pas d'accord avec toutafai : ce n'est pas en « ne mettant pas de passerelle par défaut » qu'on sécurise la communication entre plusieurs réseaux : si tu ne restreins pas les communications ta passerelle, une machine aura toujours la possibilité de l'utiliser, avec une passerelle configurée à la main.

Pas de réponse détaillée sur ton script iptables, juste quelques commentaires :
1/ tu es maître de ta machine, pas besoin de restreindre les connexions en entrée / les règles INPUT ne sont, à mon sens, à utiliser que pour des cas particuliers
2/ sur FORWARD, tu as déjà la policy à DROP, pas besoin de mettre des règles spécifiques avec DROP

toutafai · Le 31/07/2015, à 18:24

Bonsoir,
Désolé pour délai de réponse, un peu (trop) over booké...

Je me suis mal exprimé et j'ai répondu un peu trop à la "va-vite", je m'en excuse. je recommence :

Mettre des passerelle/route par défaut sur les sous reseau 2 et 3 uniquement pour les sous reseaux qu'il sont autorisé à attendre et pour empecher qu'il atteigne des sous reseaux "non autorisé" il suffit de mettre une passerele par défaut "bidon" (=avec une adresse hors des tes autres sous reseaux). C'est certes sommaire comme "sécurité" et cela suffit pour des utilisateur lambda.

@tiramiseb, j'ai jamais dit que cela aller sécurisé à 100%,. je suis bien d'accord qu'en mettant une passerelle à la main, on pourra atteindre les sous reseaux "interdit", la solution que j'ai proposé est tres "légère"... la solution sure est de passer par du filtrage via ipatables, mais la je ne suis "rouillé" dans ce domaine. En tout cas, merci d'avoir corrigé le tir ;-)

Dernière modification par toutafai (Le 31/07/2015, à 18:25)

tiramiseb · Le 31/07/2015, à 18:42

pour empecher qu'il atteigne des sous reseaux "non autorisé" il suffit de mettre une passerele par défaut "bidon"

Sauf que sa machine fait passerelle vers Internet aussi, donc ça doit être la route par défaut.

toutafai · Le 03/08/2015, à 21:04

ok :-)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/07/2015, à 17:28

Problème réseau multiples interfaces communiquantes

#2 Le 23/07/2015, à 22:10

Re : Problème réseau multiples interfaces communiquantes

#3 Le 24/07/2015, à 10:09

Re : Problème réseau multiples interfaces communiquantes

#4 Le 30/07/2015, à 10:13

Re : Problème réseau multiples interfaces communiquantes

#5 Le 31/07/2015, à 14:07

Re : Problème réseau multiples interfaces communiquantes

#6 Le 31/07/2015, à 18:24

Re : Problème réseau multiples interfaces communiquantes

#7 Le 31/07/2015, à 18:42

Re : Problème réseau multiples interfaces communiquantes

#8 Le 03/08/2015, à 21:04

Re : Problème réseau multiples interfaces communiquantes

Pied de page des forums