Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/01/2013, à 12:00

obare

Serveur firewall entreprise

Bonjour,

J'ai un soucis avec la mise en place de mon serveur. Beaucoup de messages sur google discute de ce genre de situation mais je ne trouve pas d'où vient mon problème (je suis loin d'être expérimenté mais je dois mettre en place ce qui m'est demandé).

Voici la demande:
Avoir un serveur permettant de contrôler les données qui transitent, pour à terme y installer un firewall/proxy et pouvoir de ce fait optimiser l'utilisation de la bande passante (puis accessoirement cibler les utilisateurs qui nuisent à la fluidité du trafic).

Pour se faire, j'ai à ma disposition un serveur DELL fraichement acheté composé de deux cartes réseau.
L'une d'entre elle, eth0, relié au routeur sous le réseau 192.168.0.0/24 et la seconde, eth1, relié au réseau local (switchs) qui a pour adresse 10.10.0.0/24.

Il doit donc y avoir un serveur DHCP pour la carte eth1 (qui est en place et fonctionne, mes clients récupèrent bien des adresses).
Mon soucis se place au niveau du transite des données.
En effet, mon client (derrière eth1) a donc son ip en 10.10.0.X. Il arrive à ping l'adresse de eth1 à savoir 10.10.0.254 ainsi que la deuxième carte eth0 en 192.168.0.13.
Cependant il n'arrive pas à joindre le routeur placé en 192.168.0.254.

Alors je me demande si le routage fonctionne bien où alors si je n'ai pas fait quelque chose de travers...

Si vous avez des idées n'hésitez pas smile

Merci d'avance

Hors ligne

#2 Le 25/01/2013, à 12:12

telliam

Re : Serveur firewall entreprise

px tu donner la table de routage de ton serveur?


"- Un intellectuel assis va moins loin qu'un con qui marche."
Maurice Biraud - Un Taxi pour Tobrouk
Michel Audiard

Hors ligne

#3 Le 25/01/2013, à 12:20

obare

Re : Serveur firewall entreprise

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.10.0.0       freebox-server. 255.255.255.0   UG    0      0        0 eth0
10.10.0.0       *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
default         freebox-server. 0.0.0.0         UG    0      0        0 eth0

Voilà pour la table.

Hors ligne

#4 Le 25/01/2013, à 12:24

tiramiseb

Re : Serveur firewall entreprise

Tu aurais pu préciser que ton routeur c'est une Freebox smile

As-tu bien mis en place du NAT sur ton firewall ?
Si non, la Freebox n'a pas connaissance du réseau local, elle ne sait pas où renvoyer les paquets pour 10.10.0.0/24...

Hors ligne

#5 Le 25/01/2013, à 12:26

telliam

Re : Serveur firewall entreprise

Je suis pas un expert à 100 % , mais la 1ere ligne est un peu douteuse non?


"- Un intellectuel assis va moins loin qu'un con qui marche."
Maurice Biraud - Un Taxi pour Tobrouk
Michel Audiard

Hors ligne

#6 Le 25/01/2013, à 12:32

Brunod

Re : Serveur firewall entreprise

Connais-tu pfsense ?


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#7 Le 25/01/2013, à 12:32

tiramiseb

Re : Serveur firewall entreprise

telliam a écrit :

Je suis pas un expert à 100 % , mais la 1ere ligne est un peu douteuse non?

Ah oui bien vu. Je n'avais même pas fait gaffe à ça.
Vu qu'il y a une route directe (sans gateway) celle-ci a la priorité, donc ça ne pose pas de problème à l'usage.
Mais en effet il est mieux d'enlever cette route-là.

Mais ça ne résoudra pas le pb de communication avec la Freebox.

Hors ligne

#8 Le 25/01/2013, à 12:35

tiramiseb

Re : Serveur firewall entreprise

Brunod a écrit :

Connais-tu pfsense ?

Personnellement je préfère un firewall sous Debian...
Je maîtrise mieux le système tongue

Hors ligne

#9 Le 25/01/2013, à 12:41

obare

Re : Serveur firewall entreprise

Je ne savais pas que préciser le type de routeur était important désolé. 

Le firewall n'existe pas encore, mais en tout cas je n'ai pas mis en place de NAT pour le moment.
Donc je dois le mettre en place sur mon serveur le nat via iptables si j'ai bien compris (je suis débutant donc j'essaye de comprendre au fur et à mesure).

Une question persiste cela dit: Mes postes clients auront-ils bien connaissance de cette route? Je ne suis pas censé toucher aux postes clients de la société donc tout doit se faire automatiquement.

Enfin pour te répondre brunod, même réponse que tira' je préfère un firewall sous debian aussi.

Dernière modification par obare (Le 25/01/2013, à 12:42)

Hors ligne

#10 Le 25/01/2013, à 12:44

pires57

Re : Serveur firewall entreprise

j'ai pu tester pfsense et zeroshell pour ma part et je trouve zeroshell bien mieu que pfsense


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#11 Le 25/01/2013, à 12:45

tiramiseb

Re : Serveur firewall entreprise

Je ne savais pas que préciser le type de routeur était important désolé.

Avec un Cisco tu aurais pu mettre la route vers ton réseau local dans le routeur, ce que je pensais que tu avais fait vu que tu avais l'air de savoir à peu près de quoi tu parlais.


en tout cas je n'ai pas mis en place de NAT pour le moment.

Donc ça ne pourra pas marcher, vu que les clients se présentent à la Freebox sous leur propre adresse et celle-ci ne sait pas quoi faire de ces adresses et dirige les réponses vers sa route par défaut : le réseau de Free.


Donc je dois le mettre en place sur mon serveur le nat via iptables si j'ai bien compris

Par exemple.
Mais je te conseille d'utiliser plus évolué comme logiciel de gestion de firewall.
J'affectionne particulièrement Shorewall.


Mes postes clients auront-ils bien connaissance de cette route?

Tes clients n'ont qu'à connaître ton routeur comme route par défaut, ensuite c'est lui qui se débrouille.

Hors ligne

#12 Le 25/01/2013, à 12:50

obare

Re : Serveur firewall entreprise

Ok, merci pour ces réponses détaillées tiramiseb.
Je vais me pencher sur tes solutions et chercher désormais un peu par moi même vu que tu m'as remis sur la bonne route...!

Je ferai un retour sous peu merci à tous.

Hors ligne

#13 Le 25/01/2013, à 12:52

tiramiseb

Re : Serveur firewall entreprise

Amuse-toi bien !

Hors ligne

#14 Le 25/01/2013, à 15:27

obare

Re : Serveur firewall entreprise

Me revoilà.

Alors finalement j'ai décidé pour me mettre dans le "bain" de commencer à toucher à iptables qui me parait plus "gentil".. je n'ai pas les base je pense pas tout compris à shorewall.

Cependant cela ne veut pas passer.

iptables -t nat -A POSTROUTING -s 10.10.0.0 -j SNAT --to-source 192.168.0.13

J'ai utilisé SNAT pour désigner des adresses et pas des interfaces (si j'ai bien compris). Mais toujours rien à faire aucun moyen de faire communiquer un client.
10.10.0.0 est bien mon réseau où seront mes clients et 192.168.0.13 est l'adresse ip de la carte étant reliée au routeur (freebox pour le coup).

Cela serait encore un problème au niveau de mes routes?

Hors ligne

#15 Le 25/01/2013, à 15:53

tiramiseb

Re : Serveur firewall entreprise

1/ Tu peux remplacer le SNAT par du MASQUERADE, qui a le même résultat mais qui te simplifie la vie.

2/ Tu as mis une adresse unique (10.10.0.0) et non l'adresse du réseau (10.10.0.0/24).

3/ Histoire d'être bien carré (mais je ne suis pas sûr que dans ton cas ce soit utile), il est utile de dire que cette règle ne s'applique que sur les paquets sortant vers la Freebox.

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

Hors ligne

#16 Le 25/01/2013, à 15:54

tiramiseb

Re : Serveur firewall entreprise

Au fait, si tu n'utilises la Freebox que pour cette machine et que tu n'utilises pas la TV par exemple (la liste complète des restrictions est indiquée dans la doc et dans l'interface de la box), tu peux désactiver le mode routeur sur la freebox.
Du coup ton PC "firewall" aurait directement l'adresse IP publique et c'est lui qui fera directement le routage vers Internet, plutôt que de passer vers ce réseau 192.168.0.0/24.

Hors ligne

#17 Le 25/01/2013, à 16:07

obare

Re : Serveur firewall entreprise

Oui alors effectivement c'était la solution que je souhaitais mettre en place à l'origine, sauf qu'à terme quand je serai sur le matériel final à savoir le routeur NERIM, je ne peux pas le virer. Si je le vire ils ne pourront plus avoir la main sur réseau et donc notre téléphonie IP... Et concrètement cela remettrai en question le contrat d'intervention en cas de soucis technique si tu vois l'idée.. Je suis coincé avec cela. Et puis on a tellement de soucis avec eux qu'il vaut mieux éviter de leur donner la possibilité de se défaire de toute responsabilité !

Sinon j'ai remplacé avec ce que tu m'as proposé cela ne change rien du tout. Toujours un ping possible sur les deux interfaces du serveur depuis un client en eth1 (local) mais il ne passera pas la carte eth0 qu'il arrive à ping.
Je fais bien le restart du service réseau..

Si cela peut aider, avec mon serveur j'accède sans problème au routeur et aussi par la même occasion à internet.
Je vois plus un problème d'orientation des paquets mais bon mon niveau ne me permet que de supposer.

Hors ligne

#18 Le 25/01/2013, à 16:23

tiramiseb

Re : Serveur firewall entreprise

avec mon serveur j'accède sans problème au routeur et aussi par la même occasion à internet.

C'est normal vu qu'il n'y a pas de routage spécifique à partir de celui-ci : il communique avec la box directement avec son adresse IP à lui, la box sait comment le retrouver.

Je répète ce que j'ai écrit plus haut :
Les clients se présentent à la Freebox sous leur propre adresse (10.10.0.x) et celle-ci ne sait pas quoi faire de ces adresses et dirige les réponses vers sa route par défaut : le réseau de Free.
Le problème est clair.


Peux-tu donner le retour des commandes suivantes ?

iptables -nL
iptables -t nat -nL

Hors ligne

#19 Le 25/01/2013, à 16:29

obare

Re : Serveur firewall entreprise

Alors pour la première commande:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

Et pour la seconde

target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination     

J'ose imaginer que du fait qu'il n'apparait aucune ip n'est pas vraiment bon signe et que j'ai encore zappé quelque chose !
merci pour ta patience en tout cas

Dernière modification par obare (Le 25/01/2013, à 16:30)

Hors ligne

#20 Le 25/01/2013, à 16:30

tiramiseb

Re : Serveur firewall entreprise

Désolé, tu peux faire la suivante (pour avoir plus de détails) :

iptables -v -t nat -nL

?

Hors ligne

#21 Le 25/01/2013, à 16:31

obare

Re : Serveur firewall entreprise

Bien sûr, la voici :

Chain PREROUTING (policy ACCEPT 1401 packets, 181K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 426 packets, 30112 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   14  1230 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 45 packets, 3471 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Hors ligne

#22 Le 25/01/2013, à 16:36

tiramiseb

Re : Serveur firewall entreprise

Euh...

"out eth1" ? Je croyais que ton interface exérieure était eth0. Manifestement tu n'as pas repris exactement ma commande...

(et en effet il manque la plage d'addresses source)

Hors ligne

#23 Le 25/01/2013, à 16:43

obare

Re : Serveur firewall entreprise

Effectivement je me suis trompé de machine quand je l'ai rentré.
Du coup dès que je coupe le serveur, il faut que je relance cette ligne de commande?

Autrement, j'ai renouvelé la commande:

 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 6 packets, 385 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   17  1459 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           
   82  5662 MASQUERADE  all  --  *      eth0    10.10.0.0/24         0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 9 packets, 614 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Hors ligne

#24 Le 25/01/2013, à 16:46

tiramiseb

Re : Serveur firewall entreprise

 pkts bytes target     prot opt in     out     source               destination         
   17  1459 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           
   82  5662 MASQUERADE  all  --  *      eth0    10.10.0.0/24         0.0.0.0/0    

Houla es-tu sûr de ça ?

"masquerader tout paquet de source n'importe quoi et sortant sur eth1"
ET
"masquerader tout paquet de source 10.10.0.0/24 et sortant sur eth0"
?

Là j'ai l'impression que la première ligne risque de poser problème (car plage source trop "large") et la 2me ligne est totalement inutile car le cas ne sera jamais rencontré.


Du coup dès que je coupe le serveur, il faut que je relance cette ligne de commande?

Oui, il faut réappliquer les règles de firewall au redémarrage du serveur.
Ceux qui bricolent avec iptables font des scripts qui s'exécutent au démarrage.
Ceux qui utilisent des bons outils comme Shorewall savent que cet aspect est géré tout seul.

Hors ligne

#25 Le 25/01/2013, à 17:08

obare

Re : Serveur firewall entreprise

Je ne remet pas en question, loin de moi cette prétention, les outils tels Shorewall. J'essaye juste déjà de me familiariser avec les bases.

Alors, suite à un redémarage système puis une remise au propre de la commande

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      eth0    10.10.0.0/24         0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Et je peux ping n'importe quel poste. De plus je peux ping vers l'extérieur les serveurs google par exemple. Maintenant, la navigation web ne se faisant pas, je soupçonne un problème avec le DNS. Mais j'ai donné à cette machine les serveur google (8.8.8.8) en DNS pourtant.

Edit: problème résolu j'avais pas décommenté le DNS smile

Merci beaucoup pour ton aide !

Dernière modification par obare (Le 25/01/2013, à 17:14)

Hors ligne