[IPTABLES] Configuration

Configuration [IPTABLES] - Logiciels - Linux et OS Alternatifs

Marsh Posté le 26-05-2004 à 13:40:39    

voici mon script de IPTABLES
 


#!/bin/sh
 
# Begin $rc_base/init.d/firewall
 
# set a sane policy: everything not accepted > /dev/null
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP
 
# allow local-only connections
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# dns
iptables -A OUTPUT -p udp --dport 53                              -j ACCEPT
iptables -A INPUT  -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
 
# ping
iptables -A INPUT  -i eth0 -p icmp -m icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-reply   -d 192.168.0.0/24 -j ACCEPT
 
# ssh  
iptables -A INPUT  -i eth0 -p tcp --dport 22 -s 192.168.0.100 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 192.168.0.100 -j ACCEPT
 
# samba
iptables -A INPUT  -i eth0 -p tcp --dport 139 -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -d 192.168.0.0/24 -j ACCEPT
 
# http
iptables -A INPUT  -i eth0 -p tcp --sport 80  -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80  -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
 
# be verbose on dynamic ip-addresses
echo 2 > /proc/sys/net/ipv4/ip_dynaddr
 
# enable syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
 
# disable ExplicitCongestionNotification
echo 0 > /proc/sys/net/ipv4/tcp_ecn
 
# End $rc_base/init.d/firewall


 
je suis capable de faire un ping vers la machine, mais pas à partir de celle ci:
 

-bash-2.05b# ping www.google.ca
PING www.google.akadns.net (64.233.161.104): 56 data bytes
ping: sendto: Operation not permitted


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 26-05-2004 à 13:40:39   

Reply

Marsh Posté le 26-05-2004 à 13:45:23    

Tu n'acceptes les ping que pour le réseau local non ?

Reply

Marsh Posté le 26-05-2004 à 13:47:42    

arf oui...
 
ya moyen que je puisse faire des ping à l'externe mais que l'externe ne puisse pas m'en faire?


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 26-05-2004 à 13:49:28    

Ben oui. Faut laisser sortir les echo-request et accepter les echo-reply.

Reply

Marsh Posté le 26-05-2004 à 13:52:24    

merci
 


# ping
iptables -A INPUT  -i eth0 -p icmp -m icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT  -i eth0 -p icmp -m icmp --icmp-type echo-reply                     -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-reply   -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-request                   -j ACCEPT


 
je repasserai surment pour d'autres problèmes dans les prochains jours :D


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 26-05-2004 à 18:08:02    

hum je cherche aussi comment faire pour que je puisse me connecter à n'importe quel ftp, ainsi que de permettre l'accès à un éventuel serveur ftp


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 26-05-2004 à 18:59:09    

salut, perso je préfère utiliser sysctl pour les paramètres noyaux, comme ça, ils sont définis + tôt.
 
pour iptables, ce tuto est pas mal du tout (en particulier la dernière partie) :
http://christian.caleca.free.fr/netfilter/


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 27-05-2004 à 20:41:22    

salut tout le monde. voila j'essais de configurer iptables mais j'ai des petit soucis sur les port a ouvrir. j'aurais aimé savoir quels port je doit laissé ouvert pour le ftp, GAIM et AMSN.
pour le ftp j'avais ouvert le port 21 mais avec gFTP j'arrive pas a me connecter a mon compte sur multimania

#ftp
iptables -A INPUT  -i ppp0 -p tcp --sport 21  -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21  -j ACCEPT


 
puis voila pour http si vous voyé qu'il manque qq chose

# http
iptables -A INPUT  -i ppp0 -p tcp --sport 80  -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80  -j ACCEPT


 
d'avance merci pour votre aide
 
edit : je me rend compte que quake3 ne passe plus non plus donc il me faudrais aussi les port pour quake 3


Message édité par carot0 le 27-05-2004 à 20:47:43

---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 27-05-2004 à 23:02:18    

carot0 a écrit :

salut tout le monde. voila j'essais de configurer iptables mais j'ai des petit soucis sur les port a ouvrir. j'aurais aimé savoir quels port je doit laissé ouvert pour le ftp, GAIM et AMSN.
pour le ftp j'avais ouvert le port 21 mais avec gFTP j'arrive pas a me connecter a mon compte sur multimania

#ftp
iptables -A INPUT  -i ppp0 -p tcp --sport 21  -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21  -j ACCEPT


 
puis voila pour http si vous voyé qu'il manque qq chose

# http
iptables -A INPUT  -i ppp0 -p tcp --sport 80  -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80  -j ACCEPT


 
d'avance merci pour votre aide
 
edit : je me rend compte que quake3 ne passe plus non plus donc il me faudrais aussi les port pour quake 3


bon g reussi pour aim et quake 3
pour amsn je le force a passer par le port 80 si non ca marhce et pour gftp bas g tjrs pas reussi a le faire marche help please


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 28-05-2004 à 01:20:32    

modprobe ip_conntrack_ftp
iptables -I OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT
 
 
sinon oublie les sport venant de l'exterieur comme tu faisais, ça sert à rien
 
avec ces règles, je pense que ça devrait marcher


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2004 à 01:20:32   

Reply

Marsh Posté le 28-05-2004 à 11:44:54    

udok a écrit :

modprobe ip_conntrack_ftp
iptables -I OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT
 
 
sinon oublie les sport venant de l'exterieur comme tu faisais, ça sert à rien
 
avec ces règles, je pense que ça devrait marcher


ok merci je vais essayer ca


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 28-05-2004 à 12:13:01    

si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0?


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 28-05-2004 à 12:14:33    

Burgergold a écrit :

si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0?


 
man iptables !  :o
ppp0 c'est pour moi et carto mais c'est psa forcément pareil pour toi
il faut que tu saches quel est ton interface externe (mais en effet c'est souvent ppp0)


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2004 à 12:18:16    

mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet
 
faut que j'utilise eth0?


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 28-05-2004 à 12:20:24    

Burgergold a écrit :

mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet
 
faut que j'utilise eth0?


 
ta gateway c'est du linux ? si oui c'est plus logique de foutre ton firewall dessus
sinon bah ton interface c'est sans doute eth0
m'enfin je vais pas te faire tout un cours sur iptables, y-aurait bcp de chose à dire, tu devrais lire un peu de doc :o


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2004 à 12:23:42    

nah c'est une switch dlink qui route l'internet :D
 
j'ai lu la doc de lea, mais c'est quand même général
 
un petit man iptables serait surement bien :D


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 28-05-2004 à 12:28:21    

Burgergold a écrit :

nah c'est une switch dlink qui route l'internet :D
 
j'ai lu la doc de lea, mais c'est quand même général
 
un petit man iptables serait surement bien :D


un petit google iptables aussi [:dawa]
pour le swith, ça fait pas routeur, tu as un modem routeur ou quoi ??
enfin bref, j'appelle pas ça une gate moi :D
et dans ce cas en effet, y-a de grande chanse pour que ton interface externe soit eth0


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2004 à 18:52:36    

mon script iptables des fois que cela puisse servir et si quelqu'un y vois des truc a ameliorer

#!/bin/bash
 
# Plus rien ne passe  
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#on accepte tout ce qui entre et sort de l'interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#on accepte tout ce qui passe par la carte reseau
iptables -A INPUT  -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
 
# dns
iptables -A OUTPUT -p udp --dport 53                              -j ACCEPT
iptables -A INPUT  -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
 
 
# http/https
iptables -A INPUT   -p tcp --sport 80  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 80  -j ACCEPT
 
iptables -A INPUT   -p tcp --sport 443  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 443  -j ACCEPT
 
#ftp
iptables -A INPUT   -p tcp --sport 21  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 21  -j ACCEPT
 
#irc
iptables -A INPUT   -p tcp --sport 6667  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 6667  -j ACCEPT
 
iptables -A INPUT   -p tcp --sport 32964  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 32964  -j ACCEPT
 
#messenger
iptables -A INPUT  -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT  -p udp --sport 1863 -j ACCEPT
iptables -A INPUT  -p udp --dport 1863 -j ACCEPT
 
iptables -A INPUT  -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT  -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT
 
#AIM
iptables -A INPUT  -p tcp --sport 5190 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT  -p udp --sport 5190 -j ACCEPT
iptables -A INPUT  -p udp --dport 5190 -j ACCEPT
 
iptables -A INPUT  -p tcp --sport 5193 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5193 -j ACCEPT
iptables -A INPUT  -p udp --sport 5193 -j ACCEPT
iptables -A INPUT  -p udp --dport 5193 -j ACCEPT
 
#quake 3
iptables -A INPUT  -p udp --sport 27950  -j ACCEPT #master server
iptables -A OUTPUT -p udp --dport 27950  -j ACCEPT #master server
 
iptables -A INPUT  -p udp --sport 27960  -j ACCEPT
iptables -A OUTPUT -p udp --dport 27960  -j ACCEPT
 
iptables -A INPUT  -p udp --sport 26000  -j ACCEPT
iptables -A OUTPUT -p udp --dport 26000  -j ACCEPT
 
iptables -A INPUT  -p udp --sport 27000  -j ACCEPT
iptables -A OUTPUT -p udp --dport 27000  -j ACCEPT
 
iptables -A INPUT  -p udp --sport 27910  -j ACCEPT
iptables -A OUTPUT -p udp --dport 27910  -j ACCEPT
 
# ping
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-reply   -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT  
 
 
# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec des connexions établies  
# sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 29-05-2004 à 02:50:43    

avec ca ton ftp fonctionne?
 
parce que je viens de tester sur ftp.gnu.org et jpeux pas faire de ls, le ftp bloque
 
# ftp
iptables -A INPUT  -i eth0 -p tcp --sport 21  -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp --dport 21  -j ACCEPT


---------------
http://www.boincstats.com/signature/user_664861.gif
Reply

Marsh Posté le 29-05-2004 à 10:59:52    

N'oublie pas le port 20; les data pr le ftp.
Je ne sais plus si ca comporte comme de nouvelle connexion ou comme des connexion préetablie. Par ailleur, il faut parfois activer ou désactiver le mode passif.


---------------
ΞvΞ online player | Topic hfr eve-online
Reply

Marsh Posté le 29-05-2004 à 11:22:38    

macfennec a écrit :

N'oublie pas le port 20; les data pr le ftp.
Je ne sais plus si ca comporte comme de nouvelle connexion ou comme des connexion préetablie. Par ailleur, il faut parfois activer ou désactiver le mode passif.


 
le port 20 c'est pour le mode actif mais les 3/4 des serveurs sont en mode passif et là pour passer il faut une règle avec ESTABLISHED,RELATED ...


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 29-05-2004 à 11:31:22    

Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose.

Reply

Marsh Posté le 29-05-2004 à 11:35:26    

Burgergold a écrit :

avec ca ton ftp fonctionne?
 
parce que je viens de tester sur ftp.gnu.org et jpeux pas faire de ls, le ftp bloque
 
# ftp
iptables -A INPUT  -i eth0 -p tcp --sport 21  -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp --dport 21  -j ACCEPT


en effet le ftp bloque chez moi aussi, pour que ca marche il faut le port 20 en plus et desactiver le mode passif.j'aurai voulu pouvoir me connecter en mode passif mais je n'y arrive pas
 
edit : ha bas non meme avec le port 20 il bloque pour LIST -aL
 
puis aussi g rajouté ca en debut de script

# pour autoriser les connexions ftp :
modprobe ip_conntrack_ftp


Message édité par carot0 le 29-05-2004 à 11:42:27

---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 29-05-2004 à 11:36:44    

AirbaT a écrit :

Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose.

Reply

Marsh Posté le 29-05-2004 à 11:55:30    

ha oui aussi g rajouté ces ligne a la fin de mon script :


#log
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES:tout:IGNORE] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP  


mais je ne sais pas ou mes log sont ecrit


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 29-05-2004 à 11:59:48    

carot0 a écrit :

ha oui aussi g rajouté ces ligne a la fin de mon script :


#log
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES:tout:IGNORE] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP  


mais je ne sais pas ou mes log sont ecrit


 
il utilise syslog
apres ça dépend de ta conf de syslog, mais y-a des chances pour que ça attérisse dans /var/log/syslog


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 29-05-2004 à 12:54:11    

udok a écrit :

il utilise syslog
apres ça dépend de ta conf de syslog, mais y-a des chances pour que ça attérisse dans /var/log/syslog


merci


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed