[iptables] et oui 1 de plus :) [RESOLU]

et oui 1 de plus :) [RESOLU] [iptables] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-01-2003 à 10:20:56    

voila,
 
En m'inspirant de quelques exemples, je me suis fait ca  

Code :
  1. #!/bin/bash
  2. #police par defaut DROP
  3. #on degage tous
  4. echo "DEBUT"
  5. iptables -F
  6. iptables -F INPUT
  7. iptables -F OUTPUT
  8. iptables -F FORWARD
  9. iptables -X
  10. iptables -t nat -F
  11. iptables -t nat -X
  12. iptables -t mangle -F
  13. iptables -t mangle -X
  14. iptables -P INPUT DROP
  15. iptables -P OUTPUT DROP
  16. iptables -P FORWARD DROP
  17. # pour le localhost c obligatoire je crois !!
  18. iptables -A INPUT -i lo -j ACCEPT
  19. iptables -A OUTPUT -o lo -j ACCEPT
  20. #pour accepter tous ce qui passe sur le rezo
  21. iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
  22. iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
  23. iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -j ACCEPT
  24. iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -j ACCEPT
  25. #echo "[Activation de la passerelle]"
  26. echo 1 > /proc/sys/net/ipv4/ip_forward
  27. #pour accepter le partage de connexion
  28. iptables -A FORWARD -j ACCEPT
  29. iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
  30. #DNS OK
  31. iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
  32. iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
  33. iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
  34. iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT
  35. iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
  36. iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  37. #SSH autorisé
  38. iptables -A INPUT -i ppp0 --protocol tcp --source-port 22 -m state --state ESTABLISHED -j ACCEPT
  39. iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  40. #pour accepter le FTP sur mon rezo local
  41. modprobe ip_conntrack_ftp
  42. modprobe ip_nat_ftp
  43. iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
  44. iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  45. iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  46. iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
  47. iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m  state --state ESTABLISHED -j ACCEPT
  48. iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  49. echo "régle appliqué"


 qui ce trouve dans un fichier appelé firewall.sh
il ce lance au demarrage de linux, je l'ai mis à la fin du fichier /etc/rc.local
et il ce lance nikkel
étant sur une MDK9 j'ai viré le fichier shorewall dans /etc/init.d qui et le firewall par defaut  
ceci étant fait, mon firewall semble fonctionner correctement puisque à partir de mon rezo local j'ai accès à internet, je peux lire mes mail, me connecter par IRC et meme jouer à CS ou Q3 ca fonctionne aussi que samba. J'ai aussi accès à mon serveur HTTP.
Le seul soucis c que de l'extérieur personne n'arrrive à me pinger et personne n'accéde à mon server Web !!
question con pourquoi ? sachant que quand je tente de me connecter à partir de mon pc local sur mon ip internet ca fonctionne!
que doit-je rejouter ou modifier dans mon script pour que cela fonctionne correctement ?
C peut être mon Apache que j'ai mal configuré !!
 
voila je m'arrete la, Merci a ceux qui auront le courage de tous lire  :jap:


Message édité par stef_dobermann le 10-01-2003 à 12:44:01

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 10:20:56   

Reply

Marsh Posté le 10-01-2003 à 10:25:22    

Faut peut etre que t'accepetes les connexions NEW en INPUT sur ppp0, nan ??? :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 10:30:14    

tu veux dire remplacer ca :

Code :
  1. iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT


 
par ca :

Code :
  1. iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


 
Edit : ajouter un NEW en INPUT ?


Message édité par stef_dobermann le 10-01-2003 à 10:31:09

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 10:32:41    

vi, sauf que c'est -dport plutot...


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 10:36:40    

-dport 80 à la place de  
--protocol tcp --source-port 80  
 
la je voi pas !!
 


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 10:39:54    

bah oui, les requettes HTTP proviennent d'Internet (donc INPUT et -i ppp0), et sont a destination du port 80 (donc -dport 80).
Apres le proto tcp tu peux le laisser.
 
T'es pas d'accord ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 10:41:43    

sisi
j'ai mis ca :

Code :
  1. iptables -A INPUT -i ppp0 -p tcp -dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o ppp0 -p tcp -dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT


 
et pour le OUTPUT on laisse quand meme NEW ou on peut le virer ?


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 10:54:11    

AMHA, le OUTPUT il sert a rien...
sauf si tu veux autoriser les connexions depuis ta passerelle/serveur vers un serveur Web a l'exterieur...
Ce dont je doute (puisque tu dois te connecter depuis ton reseau local, auxquel cas tu laisses deja tout passer apparemment...).


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 11:06:01    

j'ai mis ca :

Code :
  1. iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT


 
mais des copains sur irc me dise qu'ils n'y à tj rien !!
juste une page d'erreur !!
 
Edit : si tu veux tester voici mon IP : 193.253.62.11


Message édité par stef_dobermann le 10-01-2003 à 11:13:40

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 11:18:27    

Essayes de rajouter ca :
iptables -A OUTPUT -i ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 11:18:27   

Reply

Marsh Posté le 10-01-2003 à 11:25:21    

on peut pas utiliser -i avec OUTPUT, tel est le message d'erreur que j'ai !!


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 11:35:04    

iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
bien sur... copier/coller trop rapide... :ange:  
 
Mais bon, tu peux chercher un peu aussi tout seul...


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 11:35:39    

c ce que j'ai mis ;)


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 11:41:56    

on me dit que cela fonctionne !!
 
Merci de ton aide, mais vérifi quand meme


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 11:44:30    

verifie quoi ???


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-01-2003 à 11:54:34    

non rien je t'avais mon ip, tu aurais pu te connecter pour voir !!
mais vu que j'ai une page pourri pour l'instant ya pas grand chose à voir ...
 
Merci quand meme pour ton aide précieuse  :jap:


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 12:01:31    

Eh, SteF_DOBERMANN, des petites remarques comme ça...
 
La première et non des moindres : ton firewall est une véritable passoire à destination de ton LAN.
 
Tu accepte tout sur le LAN, et c'est po terrible ça, n'importe qui peut s'inviter chez toi  :non: .
 

Code :
  1. iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
  2. iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT

 :jap:  
C'est Ok, mais ça :
 

Code :
  1. iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -j ACCEPT
  2. iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -j ACCEPT
  3. et
  4. iptables -A FORWARD -j ACCEPT

[:xtenseadsl]
 
S'pas bien du tout  :non:  !
 
Si je comprends bien, ton serveur Web est sur la passarelle, très bien...
 
Donc en FORWARD, un :

Code :
  1. iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -m state -state NEW,RELATED,ESTABLISHED -j ACCEPT
  2. iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -m state -state RELATED,ESTABLISHED -j ACCEPT


 
Sera 10000000x mieux que le machin que tu as pondu.
Ou tu aimes le gout du risque ???  :lol:  
 
Bon, je m'ennerve un peu et ça sort du cadre de ta question, mais bon quitte à bien faire les choses....
 
Le passant.
 
Edit : pour le DNS, n'autorise que l'udp, Bind et compagnie ne connaissent pas tcp.


Message édité par le passant le 10-01-2003 à 12:03:54
Reply

Marsh Posté le 10-01-2003 à 12:06:07    

toute critique est bonne à prendre, à partir du moment ou elle est justifié  
 
la c plus que justifié je modifi ca tout de suite merci :jap: à toi pour ta remarque constructive !!


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 12:07:43    

Mais bon je pas un pro dans le domaine j'apprend ;)


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 12:14:50    

simple correctif :
iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
il faut 2 - avant le state


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 10-01-2003 à 12:18:34    

SteF_DOBERMANN a écrit :

simple correctif :
iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  iptables -A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
il faut 2 - avant le state


 
Oups, oui dsl :).
 
Et pis navré pour le ton employé tout à l'heure. En me relisant je me suis même fait peur  :sweat: .
 
Le passant.

Reply

Marsh Posté le 10-01-2003 à 12:21:12    

pas grave, il faut etre un peut strite de temps en temps ;)
c t une remarque pertinante et surtout un trou de securité non négligeale !! :D


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed