Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

probleme avec iptables

Defender

Bonjour
J'installé samba pour partager mes fichiers et ma connexion adsl. Pour cela j'ai supprimé toutes les sécurité dans applications-parametres de systeme-niveau de sécurite.
Là tout marche.
Donc j'ai mis en place un firewall avec iptables, et là plus de connection internet.
Voici ce que j'ai fait
[color=CC0000]début[/color]
[root@bruno bruno]# service squid start
Démarrage de squid :. [ OK ]
[root@bruno bruno]# service smb start
Démarrage des services SMB : [ OK ]
Démarrage des services NMB : [ OK ]
[root@bruno bruno]# startadsl
[root@bruno bruno]# ping -c 2 216.239.59.104
PING 216.239.59.104 (216.239.59.104) 56(84) bytes of data.
64 bytes from 216.239.59.104: icmp_seq=0 ttl=239 time=88.0 ms
64 bytes from 216.239.59.104: icmp_seq=1 ttl=239 time=79.1 ms

--- 216.239.59.104 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 79.127/83.608/88.089/4.481 ms, pipe 2
[root@bruno bruno]# iptables -F
[root@bruno bruno]# iptables -X
[root@bruno bruno]# iptables -P INPUT DROP
[root@bruno bruno]# iptables -P OUTPUT DROP
[root@bruno bruno]# iptables -P FORWARD DROP
[root@bruno bruno]# iptables -t nat -F
[root@bruno bruno]# iptables -t nat -X
[root@bruno bruno]# iptables -t nat -P PREROUTING ACCEPT
[root@bruno bruno]# iptables -t nat -P POSTROUTING ACCEPT
[root@bruno bruno]# iptables -t nat -P OUTPUT ACCEPT
[root@bruno bruno]# iptables -t mangle -F
[root@bruno bruno]# iptables -t mangle -X
[root@bruno bruno]# iptables -t mangle -P PREROUTING ACCEPT
[root@bruno bruno]# iptables -t mangle -P INPUT ACCEPT
[root@bruno bruno]# iptables -t mangle -P OUTPUT ACCEPT
[root@bruno bruno]# iptables -t mangle -P FORWARD ACCEPT
[root@bruno bruno]# iptables -t mangle -P POSTROUTING ACCEPT
[root@bruno bruno]# iptables -A INPUT -i lo -j ACCEPT
[root@bruno bruno]# iptables -A OUTPUT -o lo -j ACCEPT
[root@bruno bruno]# iptables -A INPUT -i eth0 -j ACCEPT
[root@bruno bruno]# iptables -A OUTPUT -o eth0 -j ACCEPT
[root@bruno bruno]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
[root@bruno bruno]# iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
[root@bruno bruno]# iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@bruno bruno]# iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -m state --state ! INVALID -j ACCEPT
[root@bruno bruno]# iptables -A INPUT -i ppp0 -p tcp --sport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[root@bruno bruno]# iptables -A OUTPUT -o ppp0 -p udp --dport 53 -m state --state ! INVALID -j ACCEPT
[root@bruno bruno]# iptables -A INPUT -i ppp0 -p udp --sport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[root@bruno bruno]# ping -c 2 216.239.59.104
PING 216.239.59.104 (216.239.59.104) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- 216.239.59.104 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1000ms

[color=CC0000]essai de modif[/color]
[root@bruno bruno]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
[root@bruno bruno]# ping -c 2 216.239.59.104
PING 216.239.59.104 (216.239.59.104) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- 216.239.59.104 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

[root@bruno bruno]# cat /proc/sys/net/ipv4/ip_forward
0
[root@bruno bruno]# echo 1 > cat /proc/sys/net/ipv4/ip_forward
[root@bruno bruno]# cat /proc/sys/net/ipv4/ip_forward
0
[root@bruno bruno]# ping -c 2 216.239.59.104
PING 216.239.59.104 (216.239.59.104) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- 216.239.59.104 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

[root@bruno bruno]# ifconfig
eth0 Lien encap:Ethernet HWaddr 00:11:11:B5:4B:70
inet adr:192.168.1.2 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::211:11ff:feb5:4b70/64 Scope:Lien
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:0 (0.0 b) TX bytes:7550 (7.3 KiB)

eth1 Lien encap:Ethernet HWaddr 00:60:4C:15:96:75
adr inet6: fe80::260:4cff:fe15:9675/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:65535 Metric:1
RX packets:202 errors:0 dropped:0 overruns:0 frame:0
TX packets:72 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:12689 (12.3 KiB) TX bytes:6084 (5.9 KiB)

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1517 errors:0 dropped:0 overruns:0 frame:0
TX packets:1517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:1525595 (1.4 MiB) TX bytes:1525595 (1.4 MiB)

ppp0 Lien encap:Protocole Point-à-Point
inet adr:83.193.59.122 P-t-P:193.253.160.3 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:191 errors:0 dropped:0 overruns:0 frame:0
TX packets:53 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:12173 (11.8 KiB) TX bytes:4188 (4.0 KiB)

[root@bruno bruno]#
[color=CC0000]fin[/color]

Pouvez vous me dire où je fais une erreur (ou plusieurs)
Merci par avance de votre aide
Bruno

valhalla

PAr defaut tu refuses tout. Donc si tu lui dit pas de laisser le icmp sortir et rentrer c'est normal que ca passe pas.
Genre:

iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

Defender

Merci pour le réponse.
Peux tu me préciser ce qu'est le icmp SVP - Merci
Je ne l'ai pas vu sur les sites que j'ai consulté
Cordialement
Bruno

aurelien

salut
si tu bloque le ICMP tu bloque les ping.
il y a un truc que je comprend pas ,pourquoi tu ne fait pas un script dans /etc/rc.d au lieu de te taper les commandes a chaque foi ?

shakka

valhalla a écrit:
PAr defaut tu refuses tout. Donc si tu lui dit pas de laisser le icmp sortir et rentrer c'est normal que ca passe pas.
Genre:

iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

C'est comme le principe des boîtes de nuits avec les vigiles :-D

Defender

Merci
Pour le script, chaque chose en son temps. Pour l'instant je découvre Linux il faut dire que ce n'est pas facile de s'y retrouver dans tout ce jargon pour un non informaticien.

Le script c'est l'étape qui va suivre le partage de mon imprimante.

Je vais essayer de rajouter les 2 lignes pour voir si ça passe.
Cordialement
Bruno

Defender

Désolé
mais les vigiles de la boite de nuit sont toujours intraitables.
J'ai rajouté les deux lignes mais le résultat est le même.
Si vous avez une autre idée je suis preneur.
Cordialement
Bruno

aurelien

pour t'aider voila mon script iptables .je l'ai fait en prenent les infos sur plusieurs site il me convient bien! par contre il y a peut etre des petit fail ?

pour moi eth1 = ADSL donc ppp0 pour toi ?
pour moi eth0 = LAN

n'oubli pas de donner les droits en execution

#!/bin/sh
echo "Configuration IPtables"
echo " [Debut]"
IPTABLES=/sbin/iptables

echo 1 > /proc/sys/net/ipv4/ip_forward

# Alors la, on va appliquer quelques astuces
# pour empêcher les attaques de type spoofing
# et bloquer les réponses ICMP du firewall,
# comme ça c'est très propre. Attention, le
# fait de bloquer le trafic ICMP sur
# le firewall bloque les pings.

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# REMISE à ZERO des règles de filtrage
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X

######################## DEBUT des "politiques par défaut"#####################

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

########################## FIN des "politiques par défaut"####################

########################## DEBUT des règles de filtrage#######################

# on accepte les paquets relatifs aux connexion deja ouvert

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte tout ce qui concerne l'interface loopback

$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT

# on accepte tout ce qui vient du LAN

$IPTABLES -A INPUT -i eth0 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -j ACCEPT
$IPTABLES -A FORWARD -o eth0 -j ACCEPT

######################################""""""PORT a ouvrire""""""""""########

# TCP

$IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT # ftp
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # ssh
$IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT # DNS
$IPTABLES -A INPUT -i eth1 -p tcp --dport 67 -j ACCEPT # dhcp
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # http
$IPTABLES -A INPUT -i eth1 -p tcp --dport 6881 -j ACCEPT # BitTorent
$IPTABLES -A INPUT -i eth1 -p tcp --dport 10000 -j ACCEPT # webmin https
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34525 -j ACCEPT #
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34522 -j ACCEPT # Xlink kai
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34500 -j ACCEPT #

# UDP

$IPTABLES -A INPUT -i eth1 -p udp --dport 57 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 14670 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34522 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34525 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34500 -j ACCEPT

# FIN des règles de filtrage

#on accepte tout ce qui sort vers l'exterieur
$IPTABLES -A OUTPUT -o eth1 -j ACCEPT

#on accepte de forwarder vers l'exterieur
$IPTABLES -A FORWARD -o eth1 -j ACCEPT

# Effectue la translation d'adresses :
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

# forwardees emule sur pc 16
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 5664 -j DNAT --to-destination 192.168.1.16
$IPTABLES -t nat -A PREROUTING -i eth1 -p udp --dport 5674 -j DNAT --to-destination 192.168.1.16
# forwardees emule sur pc 15
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 5663 -j DNAT --to-destination 192.168.1.15
$IPTABLES -t nat -A PREROUTING -i eth1 -p udp --dport 5673 -j DNAT --to-destination 192.168.1.15

# FIN des règles de "port forwarding"
# Toutes les règles qui n'ont pas passé les
# règles du firewall seront refusées ...

iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

# FIN des règles pour le partage de connexion (i.e. le NAT)

echo " [Termine]"

Defender

Merci
Je vais m'en inspirer pour améliorer ma config.
De plus j'ai un exemple de script.....
Il va falloir que je cherche pour le lancer automatiquement.
Cordialement
Bruno

aurelien

salut

pour le lancement automatique tu ouvre le fichier /etc/rc.d/rc.local
et tu ajoute a la fin
/etc/rc.d/nom.de.ton.fichier.script

certaine personne dise que c'est pas le mieux car on initialise le firwall apres avoir ouvert les connexions

Defender

J'ai mis ton script
ensuite j'ai vérifié sur http://www.grc.com/default.htm
voici le résultat:
- 22 SSH open
- 135 RPC Stealth
- 445 MSFT-DS Stealth
Qu'en pensez vous?
Merci
Bruno

aurelien

salut

$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # ssh

il te suffit de rajouter # au debut

#$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # ssh

et tu relance le script
il y a d'autre port que tu doit fermer pour moi il sont ouvert car je l'ai utilise

si tu est avec un modem a tu bien mis ppp0 a la place de eth1 dans le script?

fait un test sur http://www.hackerwatch.org/probe/

- 22 SSH open
- 135 RPC Stealth
- 445 MSFT-DS Stealth

cela veux dire que le port 135 et 445 sont invisible depuis l'exterieur

Defender

Re
j'ai supprimer la ligne avec le port 22. Bien que je ne sache pas ce à quoi sert SSH.
Voici le résulat sur le site que tu m'as indiqué:
- 21 closed but unsecure
- 80 closed but unsecure
C'est grave docteur?
Que faut il faire pour supprimer c'est entrées?
Merci
Bruno

aurelien

salut

donc voila moi sur mon pc le port 21 "ftp" et le port 80 "http" sont ouvert car il y a sur ma fedora un serveur web et ftp installer
closed but unsecure veut dire que le port est ouvert mais que aucun logiciel ne repond sur se port

si tu na pas de ftp ni de serveur http sur ta fedora tu peut les fermer

# TCP

$IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT # ftp
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # ssh
$IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT # DNS
$IPTABLES -A INPUT -i eth1 -p tcp --dport 67 -j ACCEPT # dhcp
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # http
$IPTABLES -A INPUT -i eth1 -p tcp --dport 6881 -j ACCEPT # BitTorent
$IPTABLES -A INPUT -i eth1 -p tcp --dport 10000 -j ACCEPT # webmin https
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34525 -j ACCEPT #
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34522 -j ACCEPT # Xlink kai
$IPTABLES -A INPUT -i eth1 -p tcp --dport 34500 -j ACCEPT #

# UDP

$IPTABLES -A INPUT -i eth1 -p udp --dport 57 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 14670 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34522 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34525 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p udp --dport 34500 -j ACCEPT

-normalement tu peut tous les fermer sauf le port 67 si ton adsl en a besoin (pour moi free IP max avec freebox)
-le ssh te permet d'ouvrire une console securise depuis un autre pc

Defender

Merci pour les infos
Cordialement
Bruno

Defender

Re

J'ai un nouveau prob. Impossible de faire un transfert de fichiers entre mes 2 postes avec le fichier dAurélien.
Quelqu'un a t il une idée?
Merci
Bruno

aurelien

salut

Impossible de faire un transfert de fichiers entre mes 2 postes

-t'es 2 postes sont sous fedora?
-samba et bien configure ?
-si un postes et sous xp SP2 le firewall doit etre desactivé autrement il bloque les ports pour le partages de fichier

Defender

j'ai un poste sous FC3 et un sous win98
Pour faire marcher l'ensemble je suis obligé de mettre en route le poste win en premier sinon j'ai une erreur au démarrage (non déja utilisé sur le réseau).
Avezc mon ancienne config je n'avais pas ce problème, je pouvais démarrer les poste dans n'importe quel ordre.
Merci de m'aider
Bruno

aurelien

salut

a tu verifier si tu n'a pas les memes IP

sous windows tape ipconfig ou winipcfg dans une console ms-dos
sous fedora tape ifconfig dans un terminal
verifie aussi que tu et en ipfix si tu n'a pas de serveur dhcp

Defender

Non tout est bon. Ca marché avant, je n'ai jamais eu ce genre de problèmes.
Ne resterait il pas une trace dans un fichier qui ne serait pas remis à zéro au lancement?
Bruno

Page suivante »