ssh ET iptables.

Thu, 05 Dec 2002 14:05:56 -0600 

Salut,

Salut,
J'arrive pas a ouvrir le port SSH sur le reseaux Local de mon serveur. Le seul moyen que j'ai trouve pour me connecter a SSH depuis une machine locale est de TOUT accepte :( 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Mais bon, cela m'a permit de verifier que ssh tourne bien :)

Donc voila mon *petit* fichier de script du firewall:


----------------
#!/bin/sh

# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Pas de spoofing...pas de ping
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

# Pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Chargement de IPTABLES dans le noyau:
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat

#On vide TOUT:
iptables -F
iptables -X

# On LOGUE les paquets refuse
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP

# On LOGUE les paquets accepte
#iptables -N LOG_ACCEPT
#iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
#iptables -A LOG_ACCEPT -j ACCEPT

# On refuse TOUT par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# On accepte TOUT en local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# On accepte SSH sur ETH1 (Local) //Marche PAS!!! :((
iptables -A INPUT -i eth1 -s 0.0.0.0/0 -m state --state NEW,ESTABLISHED -p tcp --dport 22 # -j LOG_ACCEPT iptables -A OUTPUT -o eth1 -d 0.0.0.0/0 -m state --state ESTABLISHED -p tcp --sport 22 # -j LOG_ACCEPT 

# Connection Internet pour le reseau LOCAL
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT

#Masquerading: Le LAN communique a l'exterieur avec l'@ IP Public
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE

iptables -L
-----------------
Je ne vois pas ou est l'erreur, ces regles autorisent les connections normalement: iptables -A INPUT -i eth1 -s 0.0.0.0/0 -m state --state NEW,ESTABLISHED -p tcp --dport 22 # -j LOG_ACCEPT iptables -A OUTPUT -o eth1 -d 0.0.0.0/0 -m state --state ESTABLISHED -p tcp --sport 22 # -j LOG_ACCEPT 

non ?

Merci pour toute aide,
Vincent.

Répondre à