Firewall netfilter TP

Transcription

1 Firewall netfilter TP October 12, 2004 Contents 1 Avant propos Documentations, liens Objectifs de ce TP Manipulations des iptables pour la mise en place de règles d un serveur FTP Mise en route du serveur Ouverture du port sur le serveur FTP Connexion Mode Actif / mode passif : la démystification Mode Actif Mode passif Mise en place du suivi de connexions Pour aller plus loin Firewall et relais (NAT) Objectifs Interface virtuelle et service Monter une interface virtuelle Attacher (bind) un serveur web dessus NAT Modules noyau Écriture de la règle Vérification des règles Test depuis un client Compléments Audit Démarrer l audit Analyse de l audit Exercice complémentaire en HTTP sécurisé Configuration du service HTTP SSL Configuration du firewall NAT

2 4 Passerelle Internet, ADSL Configuration Internet ADSL Démarrage de la connexion Configuration IP de la passerelle connectée au réseau public Regles de filtrage et masquerade Démarrage de la passerelle Configuration d un client sur le réseau privé Audit de la passerelle Arret de la passerelle Avant propos 1.1 Documentations, liens De nombreux livres et revues traitent de Netfilter, parmi d autres choses. généralistes qui permettent de se faire une bonne idée, par exemple : Il existe des ouvrages Le système Linux, Welsh, M., M.K. Dalheimer, T. Dawson et L. Kaufman, éd. O Reilly, Administration réseau sous Linux, Kirch, O. et T. Dawson, éd. O Reilly, Sécuriser un réseau Linux, Boutherin, B. et B. Delaunay, éd. Eyrolles, Halte aux Hackers, McClure, S., J. Scambray et G. Kurtz, éd. Eyrolles, Stratégie et ingénierie de la sécurité des réseaux, Ghernaouti-Hélie, S., éd. Dunod, Plus spécifiquement, nous vous recommandons : Firewalls & Internet Security, Cheswick, W.R., S.M. Bellovin et A.D. Rubin, éd. Addison Wesley, Building Internet Firewalls, E.D. Zwicky, S. Cooper et D.B. Chapman, éd. O Reilly, En plus des ouvrages, qui vous ont été conseillés, nous vous recommandons de consulter les liens suivants : Netfilter Tutorials pfilter Très bonne doc en francais! Objectifs de ce TP Utiliser et maîtriser Netfilter au travers de l outil Iptables. Ouvrir le service FTP (problèmatique des ports dynamiques). Réaliser une translation d adresses-ports (le tout sur une seule machine!), relisé le routage d un réseau privé sur une passerelle ADSL, enfin auditer. 2

3 2 Manipulations des iptables pour la mise en place de règles d un serveur FTP 2.1 Mise en route du serveur Un serveur FTP (File Transfer Protocol) permet l échange de fichiers entre machines distantes via ce même protocole. Lancer le serveur vsftp (Very Secure FTP) installé sur vos postes, par la commande : $ /etc/init.d/vsftpd start Essayez de vous connecter à ce serveur en tapant : ftp nom_machine.int-evry.fr Pourquoi cela ne marche t-il pas? 2.2 Ouverture du port sur le serveur FTP A l aide d un grep ftp appliqué au fichier /etc/services, vérifiez que le port associé à FTP est le 21. Nous allons devoir ouvrir ce port, et pour cela après avoir sauvegardé notre configuration actuelle : iptables-save /etc/sysconfig/iptables > ~/iptables-date nous éditons le fichier /etc/sysconfig/iptables pour y rajouter la ligne suivante : -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT et relancer iptables /etc/init.d/iptables restart Rq On aurait pu également créer un alias IP, comme vu dans le TP sécurisation d un serveur et, dans ce cas, rajouter quelque chose comme -d suivi de l adresse IP de votre interface virtuelle. 2.3 Connexion Essayez de vous connecter à nouveau sur le serveur FTP, avec la commande indiquée précédemment. Pouvez-vous vous connecter? Tout marche t-il bien? $ftp corbeau Connected to corbeau ( ). 220 (vsftpd 1.2.1) Name (corbeau:procacci): jehan 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 227 Entering Passive Mode (157,159,50,198,132,165) ftp: connect: No route to host 3

4 2.4 Mode Actif / mode passif : la démystification Mode Actif Le mode actif pose problème lorsque le client est derrière un firewall, car le serveur essayera de se connecter sur le port 1027, ce qui lui est interdit. Pour répondre a ce problème, le mode passif a été normalisé Mode passif Dans le cas du mode passif, que vous signalez au serveur grâce à la commande PASV, le serveur n essayera pas de se connecter au client, il restera passif... C est le client qui effectue tout les tentatives de connexion. Un problème persiste cependant, si les 2 machines, cliente et serveur, sont derrière un firewall. Dans ce cas, il sera nécessaire de préciser au serveur les ports de communication qu utilisera votre serveur FTP (ici vsftpd) pour accepter les connexions du client. Serveur Client 20 Data 21 Cmd Cmd Data 20 Data Serveur Cmd Client Cmd Data Figure 1: Schémas expliquant le fonctionnement de FTP en mode actif (gauche) et passif (droite). 2.5 Mise en place du suivi de connexions Le problème est que le transfert de données (mode data) ne fonctionne pas : Il faut mettre en place le suivi de connexions dans iptables! Éditez le fichier /etc/sysconfig/iptables-config cd /etc/sysconfig vi iptables-config afin de rajouter le module suivi des connexions (conntrack) pour FTP : IPTABLES_MODULES="ip_conntrack_ftp" Relancez une nouvelle fois iptables : 4

5 /etc/init.d/iptables restart On voit alors : Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: filter [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: [ OK ] Loading additional iptables modules: ip_conntrack_ftp [ OK ] La commande lsmod permet d afficher la liste des modules du noyau chargés en mémoire. Ainsi, on constate : $ lsmod grep ip_conntrack_ftp ip_conntrack ip_conntrack_ftp,ipt_state On relance sur le client : $ftp corbeau Connected to corbeau ( ). 220 (vsftpd 1.2.1) Name (corbeau:procacci): jehan 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd 257 "/home/jehan" 2.6 Pour aller plus loin... On peut voir que ip_conntrack est bien chargé en observant le fichier /proc/net/ip_conntrack $cat /proc/net/ip_conntrack tcp TIME_WAIT src= dst= sport=37139 dport= src= dst= sport=44962 dport=37139 [ASSURED] use=1 tcp ESTABLISHED src= dst= sport= dport=21 src= dst= sport=21 dport=37138 [ASSURED] use=2 Pour preuve, nous utilisons lsof. La commande lsof affiche des informations sur les fichiers ouverts 1 par des processus. $lsof -i tcp grep ftp 1645 procacci 3u IPv TCP arvouin.int-evry.fr:37138-> corbeau.int-evry.fr:ftp (ESTABLISHED) 1 fichier régulier, spécial, une librairie, un flux ou un fichier réseau (socket Internet, fichier NFS ou socket de domaine UNIX) 5

6 3 Firewall et relais (NAT) 3.1 Objectifs Nous allons créer une interface virtuelle disposant d une adresse IP privée, sur laquelle nous ferons tourner un serveur web. L objectif est d utiliser un client distant (autre PC), qui entrera sur le serveur par l interface physique (eth0) et redirigera (DNAT) vers l interface virtuelle du service web. 3.2 Interface virtuelle et service Monter une interface virtuelle $ ifconfig eth0: Attacher (bind) un serveur web dessus $ grep /etc/httpd/conf/httpd.conf Listen :8888 $ /etc/init.d/httpd start Verification $ lsof -i tcp grep 8888 httpd 5866 root 3u IPv TCP :8888 (LISTEN) 3.3 NAT Écrire la règle NAT qui va rediriger un appel sur l adresse publique d eth0 ( ) port 80 vers notre serveur virtuel ( ) port Modules noyau Voici les modules noyau ip avant le chargement des règles sur la table NAT. $ lsmod grep ip iptable_filter ip_tables iptable_filter ipv Écriture de la règle $ iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to :8888 $ lsmod grep ip iptable_nat ip_conntrack iptable_nat iptable_filter ip_tables iptable_nat,iptable_filter ipv

7 3.3.3 Vérification des règles $ iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:http to: :8888 Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 3.4 Test depuis un client (adresse IP publique du poste serveur) 3.5 Compléments On se rend compte que les règles exposées ci-dessus ne suffisent pas!. En effetle port étant réecrit de 80 vers 8888 lors du PREROUTING, le paquet va suivre son chemin ensuite dans la chain INPUT (ici RH-Firewall-1-INPUT). Il faut alors ouvrir le port 8888 dans cette chaine. $ iptables -t filter -I RH-Firewall-1-INPUT 7 -p tcp --dport j ACCEPT Maintenant l acces client fonctionne. 3.6 Audit Démarrer l audit Ajouter un peu de LOG afin de bien voir ce qui se passe (attention à l ordre des règles!) $ iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -i eth0 -j LOG \ --log-prefix "HTTP DNAT redirect " --log-level "warning" [root@corbeau ~] $ iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination LOG tcp -- anywhere anywhere tcp dpt:http LOG level warning prefix HTTP DNAT redirect DNAT tcp -- anywhere anywhere tcp dpt:http to: :8888 $ grep warn /etc/syslog.conf *.warn /var/log/iptables.log $ /etc/init.d/syslog restart 7

8 3.6.2 Analyse de l audit Recharger le navigateur client, logs générés: Sep 30 11:57:34 corbeau kernel: HTTP DNAT redirect IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:03:e SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=45969 DF PROTO=TCP SPT=36957 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 30 11:57:34 corbeau kernel: HTTP DNAT redirect IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:03:e SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=3544 DF PROTO=TCP SPT=36958 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 30 11:57:34 corbeau kernel: HTTP DNAT redirect IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:03:e SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=27218 DF PROTO=TCP SPT=36959 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 Pas très convainquant car on ne voit pas ici la redirection d adresse IP, et pour cause, cela est fait après le POSTROUTING, donc lançons des logs sur la chaîne INPUT : $ iptables -t filter -I INPUT 1 -p tcp --dport 80:8888 -j LOG --log-prefix "HTTP DNAT eth0 INPUT Sep 30 12:06:28 corbeau kernel: HTTP DNAT redirect IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:03:e SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=57847 DF PROTO=TCP SPT=36982 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 30 12:06:28 corbeau kernel: HTTP DNAT eth0 INPUT IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:03 SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=57847 DF PROTO=TCP SPT=36982 DPT=8888 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 30 12:06:28 corbeau kernel: HTTP DNAT POSTROUTING IN=eth0 OUT= MAC=00:01:03:8a:f7:7a:00:d0:0 SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=57847 DF PROTO=TCP SPT=36982 DPT=8888 WINDOW=5840 RES=0x00 SYN URGP=0 Analyse des logs en ligne sur Exercice complémentaire en HTTP sécurisé Configuration du service HTTP SSL $ grep /etc/httpd/conf.d/ssl.conf Listen :443 $ lsof -i tcp grep https httpd 8001 root 4u IPv TCP :https (LISTEN) 8

9 3.7.2 Configuration du firewall NAT Écrire les règles de filtrage afin de rediriger le port 443 vers l adresse IP privée, port 443 Solution : $ iptables-save > /etc/sysconfig/iptables-save-nat-http $ grep http /etc/init.d/iptables-nat IPTABLES_DATA=/etc/sysconfig/iptables-save-nat-http $ /etc/init.d/iptables-nat restart $ cat /etc/sysconfig/iptables-save-nat-http # Generated by iptables-save v1.2.9 on Thu Sep 30 15:16: *filter :INPUT ACCEPT [106:33730] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [77:14569] -A INPUT -p tcp -m tcp --dport 80 -j LOG --log-prefix "HTTP eth0 INPUT " -A INPUT -p tcp -m tcp --dport j LOG --log-prefix "HTTP eth0 INPUT " -A INPUT -p tcp -m tcp --dport 443 -j LOG --log-prefix "HTTPS eth0 INPUT " COMMIT # Completed on Thu Sep 30 15:16: # Generated by iptables-save v1.2.9 on Thu Sep 30 15:16: *nat :PREROUTING ACCEPT [26:3510] :POSTROUTING ACCEPT [7:427] :OUTPUT ACCEPT [7:427] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j LOG --log-prefix "HTTP PREROUTING redirect " -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j LOG --log-prefix "HTTPS PREROUTING redirect " -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination :8888 -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination :443 -A OUTPUT -j LOG --log-prefix "HTTP DNAT OUTPUT " COMMIT 4 Passerelle Internet, ADSL L objectif de cet exercice est de configurer une passerelle Internet pour un reseau privé; utilisation d adresses privées sur le réseau interne. La passerelle dispose de deux cartes reseaux, l une sur le reseau privée ; , l autre sur le reseau public, dans cet exemple réseau ADSL (PPPoE, adressage DHCP par le FAI). Cette derniere pourrait être aussi accessible via une connexion ADSL depuis un port USB (Dans ce cas, une seule carte réseau coté privé sur la passerelle!). 9

10 4.1 Configuration Internet ADSL Sous RedHat-Fedora, l utilitaire system-config-network permet de configurer graphiquement la liaison Internet (modem, ethernet, ADSL...), voici le fichier texte genéré par cet utilitaire: $ cat /etc/sysconfig/network-scripts/ifcfg-adsl_neuf # Please read /usr/share/doc/initscripts-*/sysconfig.txt # for the documentation of these parameters. ONBOOT=no USERCTL=yes PEERDNS=yes TYPE=xDSL DEVICE=ppp3 BOOTPROTO=dialup PIDFILE=/var/run/pppoe-adsl.pid FIREWALL=NONE PING=. PPPOE_TIMEOUT=80 LCP_FAILURE=3 LCP_INTERVAL=20 CLAMPMSS=1412 CONNECT_POLL=6 CONNECT_TIMEOUT=60 PERSIST=no SYNCHRONOUS=no DEFROUTE=yes USER= username@neuf.fr PROVIDER=neuf ETH=eth0 DEMAND=no IPV6INIT=no 4.2 Démarrage de la connexion [root@rama /etc/sysconfig/network-scripts] $ ifup ADSL_neuf $tail -f /var/log/messages Oct 12 21:09:54 rama kernel: CSLIP: code copyright 1989 Regents of the University of California Oct 12 21:09:54 rama kernel: PPP generic driver version Oct 12 21:09:54 rama pppd[2869]: pppd started by root, uid 0 Oct 12 21:09:54 rama pppd[2869]: Using interface ppp0 Oct 12 21:09:54 rama pppd[2869]: Connect: ppp0 <--> /dev/pts/3 Oct 12 21:09:54 rama pppoe[2870]: PPP session is Oct 12 21:09:57 rama pppd[2869]: CHAP authentication succeeded: CHAP authentication success, uni Oct 12 21:09:57 rama pppd[2869]: local IP address Oct 12 21:09:57 rama pppd[2869]: remote IP address Oct 12 21:09:57 rama pppd[2869]: primary DNS address Oct 12 21:09:57 rama pppd[2869]: secondary DNS address

11 4.3 Configuration IP de la passerelle connectée au réseau public L interface eth1 étant coté privé, eth0 étant le pont ethernet vers l interface ethernet du modem ADSL. [root@rama /etc/sysconfig/network-scripts] $ ifconfig eth0 Link encap:ethernet HWaddr 00:60:67:30:22:9C inet6 addr: fe80::260:67ff:fe30:229c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:167 errors:1 dropped:0 overruns:0 frame:0 TX packets:54 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:12069 (11.7 Kb) TX bytes:2880 (2.8 Kb) Interrupt:10 Base address:0x1f80 eth1 Link encap:ethernet HWaddr 00:50:04:BA:69:21 inet addr: Bcast: Mask: inet6 addr: fe80::250:4ff:feba:6921/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:347 errors:0 dropped:0 overruns:0 frame:0 TX packets:696 errors:0 dropped:0 overruns:0 carrier:9 collisions:0 txqueuelen:1000 RX bytes:31240 (30.5 Kb) TX bytes:64635 (63.1 Kb) Interrupt:5 Base address:0xe800 lo ppp0 Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1527 errors:0 dropped:0 overruns:0 frame:0 TX packets:1527 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes: (1.5 Mb) TX bytes: (1.5 Mb) Link encap:point-to-point Protocol inet addr: P-t-P: Mask: UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:94 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:4500 (4.3 Kb) TX bytes:54 (54.0 b) $ netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface UH ppp U eth1 11

12 U eth U lo UG ppp0 4.4 Regles de filtrage et masquerade Generation d un fichier de configuration (/etc/sysconfig/iptables-gateway) comprenant les regles de filtrage et de translation (masquarade sur le table nat): $ cat /etc/sysconfig/iptables-gateway # Generated by iptables-save v1.2.9 on Mon Oct 11 23:00: *nat :PREROUTING ACCEPT [357:18191] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # Avant de sortir sur l interface internet publique, les paquets d adressage # privé vont prendre (masquerade) l adresse ip source de l interface publique (pppo). -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Mon Oct 11 23:00: # Generated by iptables-save v1.2.9 on Mon Oct 11 23:00: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] #On autorise toute comunication sur le loopback -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #On autorise toute comunication sur le reseau prive interne -A INPUT -i eth1 -j ACCEPT -A OUTPUT -o eth1 -j ACCEPT #On autorise toute comunication sortante sur le reseau public (internet) -A OUTPUT -o ppp0 -j ACCEPT #On autorise les flux entrants que l on connait deja (initiés par nous meme) -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT #On autorise le routage entre les interfaces privée et publique -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth1 -j ACCEPT #-A INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT 4.5 Démarrage de la passerelle Nous modifions dans le script de demarrage des iptables (copie de /etc/init.d/iptables en /etc/init.d/iptables-ga l appel au fichier de configuration iptable évoqué ci-dessus, et ajoutons la gestion de passerelle ip (ip_forward) IPTABLES_DATA=/etc/sysconfig/iptables-gateway 12

13 start() { # enable ip_forward /bin/echo "1" > /proc/sys/net/ipv4/ip_forward stop() { # disable ip_forward /bin/echo "0" > /proc/sys/net/ipv4/ip_forward $ /etc/init.d/iptables-gateway restart Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: filter nat [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: [ OK ] 4.6 Configuration d un client sur le réseau privé Configurer l interface réseau sur le reseau privé ( /24) et ajout de la route par defaut vers la carte reseau coté réseau privé de la passerelle ( ).Enfin configuration du DNS (resolver) sur le client privé: [root@localhost ~] $ ifconfig eth [root@localhost ~] $ route add default gw [root@localhost ~] $ netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface U eth U lo UG eth0 [root@localhost ~] $ cat /etc/resolv.conf nameserver nameserver Verification du routage [root@localhost ~] $ traceroute traceroute to smyrne.int-evry.fr ( ), 30 hops max, 38 byte packets 1 rama ( ) ms ms ms ( ) ms ms ms kaptech.net ( ) ms ms ms 13

14 ( ) ms ms ms 5 V4072.core1.itx.gaoland.net ( ) ms ms ms 6 renater.sfinx.tm.fr ( ) ms ms ms 7 jussieu-pos4-0.cssi.renater.fr ( ) ms ms ms MPLS Label=134 CoS=3 TTL=1 S=0 8 cachan-pos1-0.cssi.renater.fr ( ) ms ms ms MPLS Label=371 CoS=3 TTL=1 S=0 9 evry-g0-3.cssi.renater.fr ( ) ms ms ms 10 reve-evry.cssi.renater.fr ( ) ms ms ms 11 c6506-i.reve.fr ( ) ms ms ms 12 int-50-g.reve.fr ( ) ms ms ms 13 smyrne.int-evry.fr ( ) ms!<10> ms!<10> ms!<10> 4.7 Audit de la passerelle Affichage des regles en cours pour les tables filter et nat: [root@rama /etc/sysconfig/network-scripts] $ iptables -L -n -v -t filter Chain INPUT (policy DROP 273 packets, bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * / / ACCEPT all -- eth1 * / /0 0 0 ACCEPT all -- ppp0 * / /0 state RE Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination ACCEPT all -- eth1 * / / ACCEPT all -- * eth / /0 Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo / / ACCEPT all -- * eth / /0 0 0 ACCEPT all -- * ppp / /0 $ iptables -L -n -v -t nat Chain PREROUTING (policy ACCEPT 335 packets, bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 100 bytes) pkts bytes target prot opt in out source destination MASQUERADE all -- * ppp / /0 Chain OUTPUT (policy ACCEPT 1 packets, 100 bytes) pkts bytes target prot opt in out source destination Mise en service de log sur la table nat. (log dans warning, cf /etc/syslog.conf) 14

15 /etc/sysconfig/network-scripts] $ iptables -t nat -I POSTROUTING 1 -o ppp0 -j LOG --log-prefix "passelle" $ tail -f /var/log/iptables.log Oct 12 21:42:03 rama kernel: passellein= OUT=ppp0 SRC= DST= \ LEN=38 TOS=0x00 PREC=0x00 TTL=5 ID=819 PROTO=UDP SPT=32774 DPT=33450 LEN= Arret de la passerelle [root@rama /etc/sysconfig/network-scripts] $ ifdown ADSL_neuf Oct 12 21:47:31 rama adsl-stop: Killing pppd Oct 12 21:47:31 rama pppd[3361]: Terminating on signal 15. Oct 12 21:47:31 rama last message repeated times Oct 12 21:47:31 rama adsl-stop: Killing adsl-connect Oct 12 21:47:31 rama pppoe[3362]: read (asyncreadfromppp): Session 44353: Input/output error Oct 12 21:47:31 rama pppoe[3362]: Sent PADT 15