perte connexion internet apres script iptables

perte connexion internet apres script iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 06-12-2005 à 19:00:39    

slt,
 
je suis sous LE2005 (mandrake) et j'ai viré shorewall (interface pour iptable) pour pouvoir activer le forwarding entre mes 2PC relié par wifi.
J'ai donc créé quelques règles me permettant d'activer un firewall les voici:
 

Code :
  1. #!/bin/sh
  2. #
  3. ###############################################################################
  4. # NOM: regles-iptables.sh
  5. #
  6. ###############################################################################
  7. # Initialisation de la table MANGLE
  8. iptables -t mangle -F
  9. iptables -t mangle -X
  10. iptables -t mangle -P PREROUTING  ACCEPT
  11. iptables -t mangle -P INPUT       ACCEPT
  12. iptables -t mangle -P OUTPUT      ACCEPT
  13. iptables -t mangle -P FORWARD     ACCEPT
  14. iptables -t mangle -P POSTROUTING ACCEPT
  15. # Suppression de toutes les chaînes pré-définies de la table FILTER
  16. iptables -t filter -F
  17. # Suppression de toutes les chaînes utilisateur de la table FILTER
  18. iptables -t filter -X
  19. # Par defaut, toute les paquets de la table FILTER sont détruits
  20. iptables -t filter -P INPUT DROP
  21. iptables -t filter -P OUTPUT DROP
  22. iptables -t filter -P FORWARD DROP
  23. # AntiSpoofing
  24. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  25. then
  26. for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  27.    do
  28.     echo 1 > $filtre
  29.    done
  30. fi
  31. # Autorise l'interface loopback à dialoguer avec elle-même
  32. iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  33. iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  34. # Autorise les connexions avec le réseau 192.168.0.0/24 connecté à l'interface wlan0
  35. iptables -t filter -A OUTPUT -o wlan0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
  36. iptables -t filter -A INPUT  -i wlan0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
  37. ################################################################################
  38. # IP masquerading
  39. ################################################################################
  40. # Suppression de toutes les chaînes pré-définies de la table NAT
  41. iptables -t nat -F
  42. # Suppression de toutes les chaînes utilisateur de la table NAT
  43. iptables -t nat -X
  44. # Par defaut, toute les paquets de la table NAT sont ACCEPTES
  45. iptables -t nat -P PREROUTING  ACCEPT
  46. iptables -t nat -P POSTROUTING ACCEPT
  47. iptables -t nat -P OUTPUT      ACCEPT
  48. # Activation du NAT dans le kernel
  49. echo 1 > /proc/sys/net/ipv4/ip_forward
  50. # On ignore les pings
  51. # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  52. # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  53. # Autorise les paquet à aller d'une interface réseau à l'autre
  54. iptables -t filter -A FORWARD -i wlan0 -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -m state --state ! INVALID           -j ACCEPT
  55. iptables -t filter -A FORWARD -i eth0 -o wlan0 -s 0.0.0.0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
  56. # Demande à la table NAT de modifier les paquets sortants
  57. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
  58. ################################################################################
  59. # sécurité passerelle
  60. ################################################################################
  61. # résolution de nom
  62. iptables -A INPUT -i eth0 --protocol udp --source-port 53 -m state --state ESTABLISHED -j ACCEPT
  63. iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  64. iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -m state --state ESTABLISHED -j ACCEPT
  65. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  66. # http
  67. iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
  68. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  69. #https
  70. iptables -A INPUT -i eth0 --protocol tcp --source-port 443 -m state --state ESTABLISHED -j ACCEPT
  71. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  72. # pop3
  73. iptables -A INPUT -i eth0 --protocol tcp --source-port 110 -m state --state ESTABLISHED -j ACCEPT
  74. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  75. # smtp
  76. iptables -A INPUT -i eth0 --protocol tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT
  77. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  78. # ftp
  79. iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
  80. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  81. #FTP passif
  82. iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
  83. iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  84. # Si Aucunes regles n'est passees on DROP
  85. iptables -A INPUT -j DROP
  86. iptables -A OUTPUT -j DROP
  87. iptables -A FORWARD -j DROP
  88. echo "terminé"


 
je suis connecté à internet via un micro qui me sert de proxy avec squid et dont le nom est attribué par dyndns.org, donc ds le navigateur j'ai activé le proxy
genre toto.tata.org:3128 et de tps en tps le navigateur bloque plus d'internet, si je configure en accès direct sans passer par le proxy ça marche.
 
je vois pas trop de quoi ça peut venir, un moment pendant le blocage j'ai fait un ping en root mais javais operation non permise?
j'ai cru tout d'abord à dyndns qui communiquerait sur un port non ouvert, mais d'apres google il n'a pas de port particulier et passe sans doute par :80
 
enfin si vous avez une idéee


Message édité par lima44 le 06-12-2005 à 19:01:26
Reply

Marsh Posté le 06-12-2005 à 19:00:39   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed