Bonjour

Je tente de mettre a jour mon serveur, j'ai installé un systeme de firewall par iptables.

Mon script iptables :
#!/bin/bash

echo Configuration du firewall...

# Interdiction de toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdiction connexion entrante  [OK]

# Interdition de toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdiction connexion sortante  [OK]

# Vidage des tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage                           [OK]

# Autorisation SSH
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT
echo - Autorisation SSH                 [OK]

# Ne pas casser les conextions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser connexion          [OK]

# Debut regles specifique

#Autoriser les requetes DNS, FPT, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autorisation DNS, FTP, HTTP, NTP [OK]

# DMA Monituring
iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT
echo - Autorisation DMA Monitoring      [OK]

#Autorisation du ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autorisation PING                [OK]

# Autorisation du loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autorisation loopback            [OK]

# Fin des regles
iptables -t filter -A INPUT -i eth0 -d  88.191.77.145 -j LOG --log-prefix "Iptables INPUT dropped : " --log-level iptables
iptables -t filter -A OUTPUT -o eth0 -s 88.191.77.145 -j LOG --log-prefix "Iptables OUTPUT dropped : " --log-level iptables
echo Firewall mis a jour avec succes
le port 80 est bien ouvert car wget fonctionne

voila le resultat d'un apt-get update
root@sd-14320:/home/arnich# apt-get update
Get:1 http://security.ubuntu.com dapper-security Release.gpg [191B]
Get:2 ftp://ftp.free.fr dapper Release.gpg [189B]
Hit http://security.ubuntu.com dapper-security Release
Hit http://security.ubuntu.com dapper-security/main Packages
Hit http://security.ubuntu.com dapper-security/restricted Packages
Hit http://security.ubuntu.com dapper-security/main Sources
Hit http://security.ubuntu.com dapper-security/restricted Sources
Err ftp://ftp.free.fr dapper Release.gpg                                       
  Could not connect data socket, connection timed out
Err ftp://ftp.free.fr dapper-updates Release.gpg
  Server closed the connection
Get:3 ftp://ftp.free.fr dapper Release [34.8kB]
59% [3 Release 0/34.8kB 0%]
Merci de votre aide

Bonne journée
Ca ressemble étrangement au script dedibox :hammer:

Sinon je pense qu'il faudrait connaître le port utilisé par apt pour savoir d'où vient le blocage, je suppose que le fichier de configuration doit le donner.

Avis perso : poster sur le forum de Ubuntu serait plus efficace non ?

PS : après quelques secondes de recherche on dirait que c'est le ftp qu'il faudrait ouvrir donc ajouter :
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
Pas testé mais à mon avis c'est logique.
Bien vu c'est le script dedibox.

J'ai posté sur le forum Ubuntu mais je nai pas eu de réponse, je pensais que la config iptables n'était pas dépendante de la distrib, je me suis donc penché sur le forum fedora ou j'ai souvent trouvé la solution de mes problèmes.

je vais tenté d'ouvrir le port 21 j'avais pas fais bien atention mais sa semble en effet bloquer sur un accés FTP.

Merci

Bonne journée
J'ai donc ouvert le port 21 en input mais pas plus d'update

Peu etre que le fichier de log peut vous aider
May  5 10:16:47 sd-14320 kernel: Iptables OUTPUT dropped : IN= OUT=eth0 SRC=88.191.77.145 DST=212.27.60.27 LEN=60 TOS=0x00 PR
EC=0x00 TTL=64 ID=9755 DF PROTO=TCP SPT=43541 DPT=28725 WINDOW=5840 RES=0x00 SYN URGP=0 
May  5 10:16:50 sd-14320 kernel: Iptables OUTPUT dropped : IN= OUT=eth0 SRC=88.191.77.145 DST=212.27.60.27 LEN=60 TOS=0x00 PR
EC=0x00 TTL=64 ID=9756 DF PROTO=TCP SPT=43541 DPT=28725 WINDOW=5840 RES=0x00 SYN URGP=0
C'est du chinoi pour moi donc si quelqu'un peu m'expliquer merci
12 jours plus tard
Pour le ftp :
-A INPUT -p tcp -m tcp --sport ftp -j ACCEPT
-A INPUT -p tcp -m tcp --sport ftp-data -j ACCEPT