metal3d.org :: iptables en passerelle ou gateway

Je vous parlais de iptables dans le ticket http://www.metal3d.org/index.php/blog/ticket/2008/09/18/Iptables-firewall-puissant. Nous avons vu comment filtrer des paquets afin d'autoriser ou non l'accès à certains ports de la machine. Nous n'avons pas parlé de "forwarding", de "masquerade"... bref, nous n'avons pas encore le "NAT" (Network Address Translation)

Comme son nom l'indique, le NAT permet de modifier les paquets afin de changer l'adresse source et/ou de destination. Cela va permettre de créer une passerelle (gateway) entre deux réseaux par exemple. Mieux encore, nous allons pouvoir dispatcher les appels sur d'autres serveur.

Afin de permettre le noyau linux de traduire les ip, il faut placer le chiffre "1" dans le fichier /proc/sys/net/ipv4/ip_forward. Cela se résume à faire

Pour faire cela, vous devez être "root". sudo ne marchera pas directement, donc les ubunteros devront faire:

Voilà qui est fait. Reste à charger les modules au noyau qui vont permettre le NAT de fonctionner:

A partir de là vous allez pouvoir faire du NAT. Il existe deux NAT: DNAT et SNAT pour Destination NAT et Source NAT.

Le premier, DNAT, modifie les paquets réseau en changeant la destination du paquet. Par exemple, si un paquet demande d'aller sur la machine 192.168.0.1 on pourra en fait le faire transiter vers 192.168.0.2. Le client n'y verra que du feu et pensera qu'il a vraiment utilisé 192.168.0.1.

Le second, SNAT, change non plus la destination mais la source. Cela permet de faire croire à la machine qui va reçevoir le paquet que son client est quelqu'un d'autre. Par exemple si un client (192.168.0.10) veut aller sur 192.168.0.20. Le routeur change l'adresse source (celle du client) en 192.168.0.11 par exemple. La machine 192.168.0.20 croit recevoir le paquet depuis cette adresse.

Dans les deux cas, SNAT ou DNAT, les réponses arrivent bel et bien sur le client après coup. Le système est quasi transparent.

Comment allons nous faire cela avec iptables ? Pour le moment, nous n'avions utilisé iptables qu'avec la table "filter" (par défaut), iptables peut utiliser une table "NAT" en appelant l'option -t nat: iptables -t nat -A ....

Deux chaînes vont nous servir: POSTROUTING et PREROUTING. Les règles à utiliser seront DNAT et SNAT.

La chaîne PREROUTING servira à modifier les paquets avant de leur donner la route à prendre: parfait pour le DNAT.
La chaîne POSTROUTING servira à modifier les paquets après leur avoir donné la route de destination: parfait pour le SNAT.

Reste à voir comment cela se passe:

Prenons un exemple:
Nous avons un LAN dont les adresses sont en classe A (192.168.0.0/24), notre pc qui va faire office de routeur aura 2 carte réseau.\

• La carte eth0 est connecté au LAN
• La carte eth1 est connecté au net (ip publique que nous noterons xx.xx.xx.xx)

Créer une passerelle entre le LAN et le net avec iptables se résume à faire croire au net que c'est le routeur qui envoi les paquets. Il faut donc changer l'adresse source des paquets sortant pour leur donner l'adresse ip publique du routeur:

En bref, tout ce qui veut sortir par eth1 devra changer son ip source en "xx.xx.xx.xx"

Reste une chose: autoriser le "forwarding" puisque les paquets vont essayer de transiter directement.
Pour faire simple, autorisez le forward en règle par défaut:

Vous pourrez bloquer le forward par la suite et configurer le FORWARD plus proprement. Je vous montrera ça en bas de l'article.

Une autre méthode, peut-être plus simple, est le MASQUERADE, en d'autres termes, tout les paquets vont prendre l'adresse de sortie de routeur automatiquement. Cela reste du SNAT, mais on appelle iptables de cette manière:

Notez que le module prévu au "masquerade" n'est pas forcément chargé, regardez avec lsmod | grep masq si vous voyez un module ipt_masquerade. Si ce n'est pas le cas, chargez le:

Reste le FORWARDING à modifier pour le rendre plus propre. Pour le moment, nous acceptons le forward dans tous les sens... Ce n'est pas très joli mais ça marche. Le mieux reste donc d'autoriser le forward que dans les cas utiles:

En d'autre terme, je n'ai autorisé les nouveaux forwards que depuis le lan vers internet. Je laisse aussi les retours de paquets (related, established) autorisés dans l'autre sens.

Il est inutile de forwarder les paquets de eth0 sur lui même, et de eth1 sur lui même, la règle par défaut empêchera cela.
Le cas échéant, si vous avez une politique plus souple:

Ces règles ne font que refuser le forward sur une carte en redondance.

Allez, pour la forme, un petit script qui me permet de router les paquet du lan connecté sur ma carte eth0 vers un autre réseau connecté en wifi (carte ath0):

Dernière chose: vos pc sur le lan doivent connaître la route pour aller sur le réseau exterieur. N'oubliez pas de leur donner ces routes, ou configurez le DHCP pour les assigner automatiquement.

Voici comment donner la route par défaut vers notre routeur:

Sinon, si le réseau exterieur au lan est un réseau privé, il suffit de noter l'adresse de réseau et de l'ajouter aux routes du client. Par exemple, si le réseau sur eth1 est de type 192.168.1.0/24 alors que sur eth0 nous sommes sur un réseau 192.168.0.0/24:

La route à donner aux machines sur 192.168.0.0/24 est:

Ce fut donc notre seconde introspection en ce qui concerne iptables. N'oubliez pas de lire les documentations sur le net, ou la page de man.

Ressources:

• http://www.metal3d.org/index.php/blog/ticket/2008/09/18/Iptables-firewall-puissant
• http://www.linux-france.org/prj/edu/archinet/systeme/ch62s03.html
• http://www.netfilter.org/

Utilisez le code barre pour ouvrir le ticket dans votre mobile: