|
Auteur: NicoTy (195.101.193.---)
Date: 18-09-01 15:32
Bonjour à tous,
J'utilise depuis quelques jours un firewall Netfilter 1.2 sous Linux 2.4.4 afin de protéger un serveur Apache. J'ai utilisé une redirection du port 80 du firewall vers le port 80 de mon serveur web via la ligne suivante :
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport www -j DNAT -d ${IP_ETH1} --to ${IP_WEB_SERVER}:80
(IP_ETH1=Adresse IP externe de mon firewall)
Celà fonctionne parfaitement à ceci près que le serveur Apache logue l'adresse IP de l'interface interne de mon firewall au lieu de loguer les adresses IP des visiteurs. Ceci fausse donc nos analyses de la fréquentation du site et déboussole nos analyseurs de logs...
Je n'ai pourtant jamais utilisé utilisé de lignes de configuration de style SNAT avec iptables... L'adresse source de mes paquets IP ne devraient donc pas être modifiée par mon firewall !
Partant de ce constat, j'ai analysé le traffic généré sur le serveur Web par des requêtes Html provenant de l'extérieur du réseau, et observé le résultat produit par un Tcpdump. Verdict : les requêtes Html provenant de l'extérieur et venant "frapper" le serveur web sur le port 80 sont reconnues avec les bonnes adresses IP externes (et non pas celle du firewall comme on pourrait s'y attendre) !
Il faut également noter que j'utilisais auparavant Ipchains avec ce serveur Apache sans aucun problème de logs.
Exemple de logs Apache avce IPchains (les @ IP externes sont correctes):
62.161.78.xxx - - [28/Nov/2000:23:33:09 +0100] "GET /icons/flags/fr.png HTTP/1.1" 200 191 "http://www.monserveur.com/cgi-bin/awstats/awstats.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
62.161.78.xxx - - [28/Nov/2000:23:33:10 +0100] "GET /icons/flags/nl.png HTTP/1.1" 200 214 "http://www.monserveur.com/cgi-bin/awstats/awstats.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
Exemple de logs Apache avec Netfilter (les @ IP sont celles de l'interface du firewall) :
10.0.0.254 - - [18/Sep/2001:15:29:09 +0200] "GET /images/expert.gif HTTP/1.1" 200 2895 "http://www.monserveur.com/groupe/menu_presentation.htm" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
10.0.0.254 - - [18/Sep/2001:15:29:09 +0200] "GET /images/mains.gif HTTP/1.1" 200 2270 "http://www.monserveur.com/groupe/menu_presentation.htm" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
Ne sachant trop que faire face à ce problème, je fais appelle à vos lumières en espérant que vous pourrez me dépanner... Quelqu'un a-t'il déjà rencontré ce problème ? Avez-vous une solution à me proposer ?
Merci d'avance et à très bientôt,
NicoTy
|
|
Répondre à ce message
|
|
Auteur: guedz (---.abo.wanadoo.fr)
Date: 11-11-01 03:01
Là j'avoue j'ai pas de soluce à te fournir malheureusement.
Mais vu ton niveau tu pourrais peut être m'aider
N'aillant pas tout saisie avec bastille, j'ai préféré paramétrer directement ipchains, voici ma config :
ipchains -P forward DENY
ipchains -P input DENY
ipchains -P output REJECT
ipchains -A forward -s 192.168.1.9/13 -j MASQ
# Configuration firewall par Ipchains
# Eviter le spoofing
ipchains -A input -i ppp0 -s 192.168.1.0/255 -d 0.0.0.0/0 -l -j REJECT
# ipchains -A input -i ! eth0 -s 192.168.1.0/255 -d 0.0.0.0/0 -j DENY
# Ajout des règles pour accéder au DNS
ipchains -A input -p udp -s any/0 53 -j ACCEPT
ipchains -A output -p udp -d any/0 53 -j ACCEPT
ipchains -A input -p tcp -s any/0 53 -j ACCEPT
ipchains -A output -p tcp -d any/0 53 -j ACCEPT
# Autoriser les connexions HTTP
ipchains -A input -p tcp -s any/0 www -d any/0 1024:65535 -j ACCEPT
ipchains -A output -p tcp -s any/0 1024:65535 -d any/0 www -j ACCEPT
# Autoriser les messages ICMP
# type 0 = pong
# type 3 = destination unreachable
# type 8 = ping
ipchains -A input -p icmp --icmp-type 0 -j ACCEPT
ipchains -A input -p icmp --icmp-type 3 -j ACCEPT
ipchains -A input -p icmp --icmp-type 8 -j ACCEPT
ipchains -A output -p icmp --icmp-type 0 -j ACCEPT
ipchains -A output -p icmp --icmp-type 3 -j ACCEPT
ipchains -A output -p icmp --icmp-type 8 -j ACCEPT
# Protéger les ports X11
ipchains -A input -p tcp -s any/0 6000:6010 -d any/0 1024:65535 -j REJECT
ipchains -A output -p tcp -s any/0 1024:65535 -d any/0 6000:6010 -j REJECT
# Autoriser le service FTP en mode actif et passif
ipchains -A input -p tcp -s any/0 21 -d any/0 1024:65535 -j ACCEPT
ipchains -A output -p tcp -s any/0 1024:65535 -d any/0 21 -j ACCEPT
# ipchains -A input -p tcp -s any/0 1024:65535 -d any/0 1024:65535 -j ACCEPT
# ipchains -A output -p tcp -s any/0 1024:65535 -d any/0 1024:65535 -j ACCEPT
# Autoriser le service POP (port 110)
ipchains -A input -p tcp -s any/0 110 -d any/0 1024:65535 -j ACCEPT
ipchains -A output -p tcp -s any/0 1024:65535 -s any/0 110 -j ACCEPT
# Autoriser le SMTP (port 25)
ipchains -A input -p tcp -s any/0 25 -d any/0 1024:65535 -j ACCEPT
ipchains -A output -p tcp -s any/0 1024:65535 -s any/0 25 -j ACCEPT
# Autoriser le HTTPS (port 443)
ipchains -A input -p tcp -s any/0 443 -d any/0 1024:65535 -j ACCEPT
ipchains -A output -p tcp -s any/0 1024:65535 -d any/0 443 -j ACCEPT
mais voilà mon souci avec cette config tout est niquel hormis un truc j'utilise apache pour hébergé un site sur mon poste et avec cette configuration il n'est plus possible d'y accéder ???? en supprimant la ligne 2 et 3 çà fonctionne mais là niveau sécurité c 0. Je te remercie d'avance si tu peut me répondre
|
|
Répondre à ce message
|
|
Auteur: guedz (---.abo.wanadoo.fr)
Date: 11-11-01 03:03
Au faite je pensais un truc filtre au niveau de ton accès iternet au lieu de eth1 essai si t'ai en adsl ppp0
|
|
Répondre à ce message
|
|
