iptables en passerelle ou gateway

03/10/2008

Je vous parlais de iptables dans le ticket http://www.metal3d.org/index.php/blog/ticket/2008/09/18/Iptables-firewall-puissant. Nous avons vu comment filtrer des paquets afin d’autoriser ou non l’accès à certains ports de la machine. Nous n’avons pas parlé de “forwarding”, de “masquerade”… bref, nous n’avons pas encore le “NAT” (Network Address Translation)

Comme son nom l’indique, le NAT permet de modifier les paquets afin de changer l’adresse source et/ou de destination. Cela va permettre de créer une passerelle (gateway) entre deux réseaux par exemple. Mieux encore, nous allons pouvoir dispatcher les appels sur d’autres serveur.

Afin de permettre le noyau linux de traduire les ip, il faut placer le chiffre “1” dans le fichier /proc/sys/net/ipv4/ip_forward. Cela se résume à faire

echo 1 > /proc/sys/net/ipv4/ip_forward

Pour faire cela, vous devez être “root”. sudo ne marchera pas directement, donc les ubunteros devront faire:

sudo -s
echo 1 > /proc/sys/net/ipv4/ip_forward

Voilà qui est fait. Reste à charger les modules au noyau qui vont permettre le NAT de fonctionner:

modprobe iptable_nat

A partir de là vous allez pouvoir faire du NAT. Il existe deux NAT: DNAT et SNAT pour Destination NAT et Source NAT.

Le premier, DNAT, modifie les paquets réseau en changeant la destination du paquet. Par exemple, si un paquet demande d’aller sur la machine 192.168.0.1 on pourra en fait le faire transiter vers 192.168.0.2. Le client n’y verra que du feu et pensera qu’il a vraiment utilisé 192.168.0.1.

Le second, SNAT, change non plus la destination mais la source. Cela permet de faire croire à la machine qui va reçevoir le paquet que son client est quelqu’un d’autre. Par exemple si un client (192.168.0.10) veut aller sur 192.168.0.20. Le routeur change l’adresse source (celle du client) en 192.168.0.11 par exemple. La machine 192.168.0.20 croit recevoir le paquet depuis cette adresse.

Dans les deux cas, SNAT ou DNAT, les réponses arrivent bel et bien sur le client après coup. Le système est quasi transparent.

Comment allons nous faire cela avec iptables ? Pour le moment, nous n’avions utilisé iptables qu’avec la table “filter” (par défaut), iptables peut utiliser une table “NAT” en appelant l’option -t nat: iptables -t nat -A ….

Deux chaînes vont nous servir: POSTROUTING et PREROUTING. Les règles à utiliser seront DNAT et SNAT.

La chaîne PREROUTING servira à modifier les paquets avant de leur donner la route à prendre: parfait pour le DNAT.\\ La chaîne POSTROUTING servira à modifier les paquets après leur avoir donné la route de destination: parfait pour le SNAT.

Reste à voir comment cela se passe:

iptales -t nat -A PREROUTING -d (adresses de destination) --to-destination (ip de destination modifiée) -j DNAT 
iptales -t nat -A POSTROUTING -s (adresses sources d'entrée) -j SNAT --to-source (adresse source à appliquer)

Prenons un exemple:\\ Nous avons un LAN dont les adresses sont en classe A (192.168.0.0/24), notre pc qui va faire office de routeur aura 2 carte réseau.\\ -La carte eth0 est connecté au LAN -La carte eth1 est connecté au net (ip publique que nous noterons xx.xx.xx.xx)

 +----------------+                                     +----------+
 | 192.168.0.0/24 | ------ eth0 [routeur] eth1 -------- | Internet |
 +----------------+                       xx.xx.xx.xx   +----------+

Créer une passerelle entre le LAN et le net avec iptables se résume à faire croire au net que c’est le routeur qui envoi les paquets. Il faut donc changer l’adresse source des paquets sortant pour leur donner l’adresse ip publique du routeur:

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source xx.xx.xx.xx
</code> 

En bref, tout ce qui veut sortir par eth1 devra changer son ip source en "xx.xx.xx.xx"

Reste une chose: autoriser le "forwarding" puisque les paquets vont essayer de transiter directement.\\
Pour faire simple, autorisez le forward en règle par défaut:
<code>
iptables -P FORWARD ACCEPT

Vous pourrez bloquer le forward par la suite et configurer le FORWARD plus proprement. Je vous montrera ça en bas de l’article.

Une autre méthode, peut-être plus simple, est le MASQUERADE, en d’autres termes, tout les paquets vont prendre l’adresse de sortie de routeur automatiquement. Cela reste du SNAT, mais on appelle iptables de cette manière:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Notez que le module prévu au “masquerade” n’est pas forcément chargé, regardez avec lsmod | grep masq si vous voyez un module ipt_masquerade. Si ce n’est pas le cas, chargez le:

modprobe ipt_MASQUERADE

Reste le FORWARDING à modifier pour le rendre plus propre. Pour le moment, nous acceptons le forward dans tous les sens… Ce n’est pas très joli mais ça marche. Le mieux reste donc d’autoriser le forward que dans les cas utiles:

iptables -P FORWARD DROP
#[...]
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#[...]

En d’autre terme, je n’ai autorisé les nouveaux forwards que depuis le lan vers internet. Je laisse aussi les retours de paquets (related, established) autorisés dans l’autre sens.

Il est inutile de forwarder les paquets de eth0 sur lui même, et de eth1 sur lui même, la règle par défaut empêchera cela. \\ Le cas échéant, si vous avez une politique plus souple:

iptables -P FORWARD ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -j DROP
iptables -A FORWARD -i eth1 -o eth1 -j DROP

Ces règles ne font que refuser le forward sur une carte en redondance.

Allez, pour la forme, un petit script qui me permet de router les paquet du lan connecté sur ma carte eth0 vers un autre réseau connecté en wifi (carte ath0): ` #!/bin/bash

+----------------+ +----------------+

| 192.168.0.0/24 | ------ eth0 [router] ath0 ----- | 192.168.2.0/24 |

+----------------+ +----------------+

LAN=“eth0” OUT=“ath0”

#empty known rules iptables -F iptables -t nat -F iptables -X

Default policies:

#DROP input and forward if they are not filtered iptables -P INPUT DROP iptables -P FORWARD DROP

#for now, accept output iptables -P OUTPUT ACCEPT

Basics rules

#Rules to allow connections on loopback (localhost ==> 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#allow ping iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

Gateway

#allow new or established or related connections iptables -A INPUT -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow forward from the lan to outside iptables -A FORWARD -i $LAN -o $OUT -j ACCEPT

#allow forward from outside to lan if connection is established or related iptables -A FORWARD -i $OUT -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#if you don’t know your outside interface ip: #this rule does the “masquerade” ==> changes packets ip iptables -t nat -A POSTROUTING -o $OUT -j MASQUERADE

#if you know your outside interface ip, replace xx.xx.xx.xx by your ip: #and comment the previous rule #iptables -t nat -A POSTROUTING -o $OUT -j SNAT --to xx.xx.xx.xx

#Don’t allow forward from output to output iptables -A FORWARD -i $OUT -o $OUT -j REJECT

System

Turn on IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward `

Dernière chose: vos pc sur le lan doivent connaître la route pour aller sur le réseau exterieur. N’oubliez pas de leur donner ces routes, ou configurez le DHCP pour les assigner automatiquement.

Voici comment donner la route par défaut vers notre routeur:

route add default gw ip.du.routeur.sur.eth0

Sinon, si le réseau exterieur au lan est un réseau privé, il suffit de noter l’adresse de réseau et de l’ajouter aux routes du client. Par exemple, si le réseau sur eth1 est de type 192.168.1.0/24 alors que sur eth0 nous sommes sur un réseau 192.168.0.0/24:

 +----------------+                        +----------------+
 | 192.168.0.0/24 | ------ [routeur] ----- | 192.168.1.0/24 |
 +----------------+                        +----------------+

La route à donner aux machines sur 192.168.0.0/24 est:

route add 192.168.1.0/24 via ip.du.routeur.sur.eth0

Ce fut donc notre seconde introspection en ce qui concerne iptables. N’oubliez pas de lire les documentations sur le net, ou la page de man.

Ressources: -http://www.metal3d.org/index.php/blog/ticket/2008/09/18/Iptables-firewall-puissant -http://www.linux-france.org/prj/edu/archinet/systeme/ch62s03.html -http://www.netfilter.org/

Ça peut vous intéresser aussi


Iptables firewall puissant

Vous connaissez le mot “firewall” ou “par-feu”, cet ...


Règles de base iptables

J’ai dut changé de serveur il y a 2 ...


Pont réseau et tunnel pour VirtualBox

J’utilise depuis peu VirtualBox, cela me permet de créer ...


Optimisons un peu notre Linux en limitant les accès disques

Que vous ayez un SSD ou non, je pense que ...

Merci de m'aider à financer mes services

Si vous avez apprécié cet article, je vous serai reconnaissant de m'aider à me payer une petite bière :)

Si vous voulez en savoir plus sur l'utilisation de flattr sur mon blog, lisez cette page: Ayez pitié de moi

Commentaires

Ajouter un commentaire

Ajouter un commentaire

(*) Votre e-mail ne sera ni revendu, ni rendu public, ni utilisé pour vous proposer des mails commerciaux. Il n'est utilisé que pour vous contacter en cas de souci avec le contenu du commentaire, ou pour vous prévenir d'un nouveau commentaire si vous avez coché la case prévue à cet effet.