Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 11/10/2014, à 22:59

Jesski

Iptables et LXC : internet bloqué

Bonsoir,

J'ai installé LXC sur mon serveur, tout marche bien sauf la connexion depuis une mv vers le net. Pour accéder à internet j'utilise le NAT, mais mon firewall (iptables) ci-dessous me bloque la vm, même si j'ai rajouté une règle à celui-ci pour la vm.

Le firewall en question :

### BEGIN INIT INFO
# Short-Description: Firewall Perso
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
### END INIT INFO

# Start/stop/restart/status firewall:

# ####################################################################################### #
# rendez ce fichier ex▒cutable : chmod +x /etc/init.d/firewall
# Afin de l'ajouter aux scripts appel▒s au d▒marrage :
# update-rc.d firewall defaults
# Pour le retirer, vous pouvez utiliser la commande suivante :
# update-rc.d -f firewall remove
# Red▒marrez, ou ex▒cutez /etc/init.d/firewall start(stop, restart) pour activer le filtrage.
# ####################################################################################### #

firewall_start(){
    echo Setting firewall rules...

    ###### Debut Initialisation ######

    # On efface toutes les lignes pr▒c▒dentes
    iptables -t filter -F
    iptables -t filter -X
    echo - Vidage : [OK]

    # --------------------------------------------
    # Interdire toute connexion entrante
    # --------------------------------------------
    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP
    echo - Interdire toute connexion entrante : [OK]

    # --------------------------------------------
    # Interdire toute connexion sortante
    # --------------------------------------------
    iptables -t filter -P OUTPUT DROP
    echo - Interdire toute connexion sortante : [OK]

    # Vider les tables actuelles
    iptables -t filter -F
    iptables -t filter -X
    echo - Vidage : [OK]

    # --------------------------------------------
    # Creation d'une chaine
    # --------------------------------------------
    iptables -N LOG_REJECT_SMTP
    iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : '
    iptables -A LOG_REJECT_SMTP -j DROP

    # --------------------------------------------
    # Anti-Taiwanais
    # --------------------------------------------
    iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
    iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
    iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
    echo - Bloquer Taiwanais : [OK]

    # -------------------------------------------
    # IP Bloqu▒es
    # -------------------------------------------
    # iptables -A INPUT --source 84.98.xx.xx -j DROP
    # iptables -A INPUT --source 92.90.xx.xx -j DROP
    # echo - IPs Bloqu▒es : [OK]
    # source /home/moha/ips_blocked.sh

    # --------------------------------------------
    # Ne pas casser les connexions etablies
    # --------------------------------------------
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    echo - Ne pas casser les connexions ▒tablies : [OK]

    # --------------------------------------------
    # Autoriser la Supervision du serveur (SNMP)
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 161 -s 91.121.85.178/32 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 161 -s 91.121.85.178/32 -j ACCEPT
    echo - Autoriser Supervision : [OK]

    # --------------------------------------------
    # Autoriser les requetes DNS, FTP, HTTP, NTP
    # --------------------------------------------
    iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
    iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
    echo - Autoriser les requetes DNS, FTP, HTTP : [OK]

    # --------------------------------------------
    # Autoriser loopback
    # --------------------------------------------
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -j ACCEPT
    echo - Autoriser loopback : [OK]

    # --------------------------------------------
    # Autoriser ping
    # --------------------------------------------
    iptables -t filter -A INPUT -p icmp -j ACCEPT
    iptables -t filter -A OUTPUT -p icmp -j ACCEPT
    echo - Autoriser ping : [OK]

    # --------------------------------------------
    # LXC
    # --------------------------------------------
    iptables -t nat -A POSTROUTING -s 192.168.11.2 -o eth0 -j MASQUERADE
    echo - Autoriser LXC : [OK]

    # --------------------------------------------
    # HTTP
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
    echo - Autoriser serveur Apache : [OK]

    # --------------------------------------------
    # FTP
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 222 -j ACCEPT
    iptables -A INPUT -p tcp --dport 4000:4005 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    echo - Autoriser serveur FTP : [OK]

    # --------------------------------------------
    # DNS
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
    echo - Autoriser serveur Bind : [OK]

    # --------------------------------------------
    # MAIL
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT
    echo - Autoriser serveur Mail : [OK]

    # --------------------------------------------
    # Autoriser SSH
    # --------------------------------------------
    iptables -t filter -A INPUT -p tcp --dport 1237 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT"
    iptables -t filter -A INPUT -p tcp --dport 1237 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1237 -m state --state NEW -m recent --set --name SSH -j ACCEPT
    echo - Autoriser SSH : [OK]

    # --------------------------------------------
    # Autoriser le SSh vers le serveur de backup
    # --------------------------------------------
    iptables -t filter -A OUTPUT -p tcp --dport 1237 -d 37.xx.xxx.xxx  -j ACCEPT
    echo - Autoriser SSH vers le serveur backup : [OK]

    # --------------------------------------------
    # Autoriser le wakeonlan vers le serveur de backup
    # --------------------------------------------
    iptables -t filter -A OUTPUT -p udp --dport 9 -d 82.2xx.xxx.xxx  -j ACCEPT
    echo - Autoriser wakeonlan vers mon pc : [OK]

    # -------------------------------------------
    # RTM OVH
    # -------------------------------------------
    iptables -t filter -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT
    echo - Autoriser RTM OVH : [OK]

}

firewall_stop(){
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT

    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT

    echo " [Firewall arr▒t▒ !] "
}

firewall_restart(){
    firewall_stop
    sleep 2
    firewall_start
}

# /etc/init.d/firewall options

case $1 in
    'start')
        firewall_start
        exit 0
    ;;
    'stop')
        firewall_stop
        exit 0
    ;;
    'restart')
        firewall_stop
        firewall_start
        exit 0
    ;;
    'status' )
        [ $2 ] && iptables -L -v -n -t $2 || iptables -L -v -n
    ;;
    *)
        echo "usage: -bash {start|stop|restart|status}"
        exit 1
    ;;
esac

Si je stop le firewall ci dessus sur mon serveur hôte et j'ajoute uniquement la règle ci-dessous, la vm a accès internet.

iptables -t nat -A POSTROUTING -s 192.168.11.2 -o eth0 -j MASQUERADE

"192.168.11.2" C'est d'adresse de la vm. A première vu le firewakk (iptables) bloque quelque chose, mais quoi ? Quelqu'un peut m'aider ?

Merci d’avance pour votre aide.

Dernière modification par Jesski (Le 11/10/2014, à 23:03)


Ubuntu 18.04 sur mon PC, Debian 9 sur mes serveurs. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#2 Le 12/10/2014, à 11:03

Jesski

Re : Iptables et LXC : internet bloqué

Bonjour,

Personne ne peut m'aider ? J'ai tout essayé je n'arrive toujours pas à résoudre ce problème, limite j'ai envie de laisser tomber LXC.


Ubuntu 18.04 sur mon PC, Debian 9 sur mes serveurs. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne