Configuration réseau / firewalld

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

Configuration réseau / firewalld

Jack.R
Bonjour,

Je viens de remplacer un pare-feu à 3 interfaces WAN, LAN, DMZ qui
fonctionnait avec iptables et firewall builder. Il avait suivi les
différentes version Debian pour être maintenant en buster mais donnait
des signes de fatigue.

Je l'ai remplacé par un raspberry PI 3B auquel j'ai rajouté 2
adaptateurs USB/RJ45. Le pare-feu est firewalld avec le backend
nftables.

box internet = plage 192.168.33.0/24
LAN = plage 192.168.66.0/24
DMZ = plage 192.168.9.0/24

box internet: 192.168.33.254
pare-feu:
WAN 192.168.33.253 en dhcp donné par la box internet
LAN 192.168.66.9
DMZ 192.168.9.1

pc LAN 192.168.66.14 fourni en dhcp par le pare-feu
serveur DMZ: 192.168.9.3

Le fichier /etc/hosts du pare-feu contient la correspondance ip/nom du
serveur sur la dmz

Depuis le WAN, tous les services souhaités sont bien redirigés sur le
serveur situé dans la dmz.
Depuis le LAN, je peux accéder au WAN pour tous les services souhaités.
Depuis le LAN, je peux faire du ssh sur le pare-feu avec son nom ou son
ip.
Depuis le LAN, je peux pinger le serveur sur la DMZ, via le nom de la
machine ou son ip.
Depuis le LAN, si j'essaye de faire du ssh sur le serveur dans la DMZ
via le nom de la machine ou son ip, j'obtiens "ssh: connect to host
serveur_dmz port 22: No route to host"
Depuis le pare-feu, si je fais du ssh sur le serveur dans la DMZ
via le nom de la machine ou son ip, je me connecte.

ip route sur le PC du LAN donne:
default via 192.168.66.9 dev enp7s0
192.168.66.0/24 dev enp7s0 proto kernel scope link src 192.168.66.14

ip route sur le pare-feu donne:
default via 192.168.33.254 dev enxb827ebe2899e
192.168.9.0/24 dev enx00e04c36084a proto kernel scope link src
192.168.9.1
192.168.33.0/24 dev enxb827ebe2899e proto kernel scope link src
192.168.33.253
192.168.66.0/24 dev enx000ec68f6b7d proto kernel scope link src
192.168.66.9

Mon soucis est donc d'atteindre le serveur sur la DMZ depuis le LAN en
ssh (le ping fonctionne).
J'ai clairement raté quelque chose mais je ne vois pas où.
Une piste ?

Merci d'avance

--
Jack.R
http://jack.r.free.fr