iptables et Team speak

iptables et Team speak - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 29-06-2004 à 19:05:29    

Salut,
 
je me suis enfin mis a iptables !!!
 
j'ai presque reussi a faire se que je voulais, mais il me reste un probleme avec Team speak, impossible de se connecter.
 
Sur le net j'ai vu qu'il fallai faire ca :  
iptables -A INPUT -p udp --dport 8767 -j ACCEPT
mais ca ne marche pas :'(.
 
configuration :
 
1 pc connecter au net via ASDL uniquement.
 
le script actuel :
 

Citation :

#!/bin/bash
# on va vider toutes les règles  
iptables -F  
iptables -X
 
 
# Pour accepter tout ce qui se passe sur l'interface lo (sinon ce n'est pas la peine d'activer le réseau !) :  
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT  
 
 
# Pour accepter les résolutions de nom (ie: le dns) :  
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT  
 
 
# Pour accepter le traffic web (on veut surfer en http(80) et https(443))  :  
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 80,443 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic pour ecouter la radio  :  
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 8128,8018,8000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 8128,8018,8000 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic SSH
iptables -A INPUT -i ppp0 --protocol tcp --source-port 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic rsync
iptables -A INPUT -i ppp0 --protocol tcp --source-port 873 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 873 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic IRC
iptables -A INPUT -i ppp0 --protocol tcp --source-port 6667 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic des emails
# smtp(25), pop3(110), imap(143), imap3(220)
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 25,110,143,220 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 25,110,143,220 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# ping (accept les ping vers l'exterieur, mais pas entrant (flood))
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT  
 
 
# Instant messenger
# msn(1863),icq(5190), aim(5190)
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 1863,5190 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 1863,5190 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le protocol ntp (mise a l'heure du system via le net)
iptables -A INPUT -i ppp0 --protocol udp --source-port 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 123 -m state --state NEW,ESTABLISHED -j ACCEPT
 
# enemy territory
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 27960,27950,27951 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 27960,27950,27951 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol udp -m multiport --source-port 27960,27950,27951 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -m multiport --destination-port 27960,27950,27951 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le protocol Torrent
torrent_port="6969,6881,6882,6883,6884,6885,6886,6886,6887,6888,6889"
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port ${torrent_port} -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port ${torrent_port} -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Team speak
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 8765,8766,8777 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol udp -m multiport --source-port 8767,8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -m multiport --destination-port 8767,8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# tous rejeter (le reste quoi!)
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP


Message édité par codi le 29-06-2004 à 19:09:23
Reply

Marsh Posté le 29-06-2004 à 19:05:29   

Reply

Marsh Posté le 29-06-2004 à 19:46:15    

il est bien kasskooye ton firewall, et bien troué en plus
 
On peut scanner ta machine ou se connecter à n'importe lequel de tes ports en utilisant comme source un de tes torrents_port
 
En plus j'imagine bien comme ca doit etre sympa quand tu essayes de te connecter à un serveur irc sur le port 6668, un serveur ET sur le port 27961, un serveur web sur le port 81 ou 8080, à un autre utilisateur de bittorrent qui n'utilise pas un port habituel, etc. etc.


---------------
Fluctuat nec mergitur
Reply

Marsh Posté le 29-06-2004 à 19:47:37    

et l'ouverture du port 8767 udp sur la machine je pense que c'est juste quand tu heberges un serveur


---------------
Fluctuat nec mergitur
Reply

Marsh Posté le 29-06-2004 à 19:57:28    

merci
 
je pense bien qu'il y a des trous  :D , je debute!
 
comment faire pour resoudre ca :

Citation :

En plus j'imagine bien comme ca doit etre sympa quand tu essayes de te connecter à un serveur irc sur le port 6668, un serveur ET sur le port 27961, un serveur web sur le port 81 ou 8080, à un autre utilisateur de bittorrent qui n'utilise pas un port habituel, etc. etc.

Reply

Marsh Posté le 29-06-2004 à 21:02:35    

Je pense que tu n'as pas choisi la bonne logique, surtout pour un pc linux multimedia interactif connecté à internet
 
La tu autorises les services (DNS, www, ...) que tu utilises en entrée et en sortie, et tu bloques tout le reste.
 
C'est la logique firewall personnel sous windows, sauf que la tu n'as pas de fenetre qui apparait te disant que telle application à essayer de se connecter à internet sur tel port.
 
L'autre logique, c'est de tout autoriser en sortie (après tout, y a pas encore de spywares sous linux), et d'utiliser le stateful en retour (-m state --state ESTABLISHED,RELATED -j ACCEPT).
Pour certains services (bittorrent est le seul de ta liste, peut etre msn mais juste pour le transfert de fichiers), tu es obligé d'ouvrir un port, donc tu le fais (--dport 6881 -j ACCEPT).
 
Avec un firewall de ce type, je n'ai aucun probleme pour surfer, me connecter à TS, à msn, irc, ET, etc sans créer de règle particuliere.
 
Mais surtout il faut éviter les énormités comme ton iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
 
Et à part si ça t'amuse particulierement d'ecrire toi meme ton firewall, je te conseille d'utiliser un script tout fait, comme celui ci http://freshmeat.net/projects/iptables-firewall/
(en tout cas moi je l'utilise ;))


---------------
Fluctuat nec mergitur
Reply

Marsh Posté le 29-06-2004 à 21:17:13    

je te remerci,
 
je vais matter ton lien et sinon revoir l'approche que j'ai fait pour autoriser tout en sortie

Reply

Marsh Posté le 30-06-2004 à 14:29:20    

Citation :

iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT


à ce stade passe sous shorewall, c un script de config de iptables qui se présente come un prgm. Il te sera tres utile et l'iface se rapproche d'un d'un fw win32.

Reply

Marsh Posté le 30-06-2004 à 14:40:48    

Merci, pour l'instant j'ai adopte le script d'Arno

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed