Andesi - forum
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 29/09/2004 20:06:26
- jaywax
- Membre
- Inscription : 01/09/2004
- Messages : 21
C'est dur netfiler...
Salut andesi 
Petite précision : Linux 2.6.7-1-386 en sarge.
Toujours aussi débutant, j'ai un problème lors d'un
apt-getquoique ce soit sur ma passerelle, configurée comme suit :
eth1 --> Réseaux local
eth0 --> ppp0Voici mon script iptables que je charge à chaque lancement et redémarrage de mon networking service :
#!/bin/sh
#
#####
# Nom du script : iptables-start.sh
# Modification : 16/09/2004
#####
# Suppression de toutes les règles
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Politiques par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# Anti-spoofing
iptables -t nat -I PREROUTING -i ppp0 -s 192.168.1.0/255.255.255.0 -j DROP
# Nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Anti ICMP
iptables -A INPUT --proto icmp --icmp-type echo-request -j DROP
# HTTP
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
# DNS
iptables -A INPUT -i ppp0 --protocol udp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# Acceptation du traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# SSH
iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# Samba
iptables -A INPUT -i eth1 -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 445 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 135:139 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 135:139 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -m state --state ESTABLISHED -j ACCEPT
# Mode passif
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
printf "n33[33m[~~Iptables chargé~~]n"Comme un exemple vaut mieux qu'un long discours :
@ apt-get install modconf
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Les NOUVEAUX paquets suivants seront installés :
modconf
0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 1058ko dans les archives.
Après dépaquetage, 3817ko d'espace disque supplémentaires seront utilisés.
Err http://ftp2.fr.debian.org testing/main modconf 0.2.47
Temporary failure resolving 'ftp2.fr.debian.org'
Impossible de récupérer http://ftp2.fr.debian.org/debian/pool/main/m/modconf/modconf_0.2.47_all.deb Temporary failure resolving 'ftp2.fr.debian.org'
E: Impossible de récupérer quelques archives, peut-être devrez-vous lancer apt-get update ou essayer avec --fix-missing ?A partir de deux autrés bécannes de mon réseaux (eth1), aptitude passe nickel... :cry:
Un autre petite question 
(pendant que jvous tiens 
) :
J'ai installé deux autres carte réseaux sur ma passerelle (une realtek et une wifi) : Faut-il que je reconpile mon noyau pour qu'elles soient prises en compte ?
Autre petite question (je sais j'abuse 
) : Comment on foce le full-duplex ?
Enfin, je suis ouvert à toutes à suggestions pour le script iptables
En vous remerciant d'avance pour vos futures réponses.
Jay
Hors ligne
#2 29/09/2004 22:12:11
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : C'est dur netfiler...
Pour les cartes réseau, de mémoire, il te faut charger les bons modules et après configurer les cartes dans /etc/network/interfaces.
Pour le script, inspire toi de celui-ci :http://olivieraj.free.fr/fr/linux/infor … final-1.sh
en lisant un peu la doc d'Olivier Allard-Jacquin http://olivieraj.free.fr/fr/linux/information/firewall/.
Dans le script, tu as quelques paramètres à fixer au début et après tout roule...
Armen qui vient de faire +1 au compteur de Ledub
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#3 29/09/2004 22:20:37
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : C'est dur netfiler...
Une indication sur ce qui me semble clocher
# HTTP
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Tu autorises la sortie par l'interface ppp0 des paquets à destination du port 80 de n'importe quelle ip.
OK, mais mes vieux souvenir du protocole tcp/ip me disent que ton navigateur fournit aussi un numéro de port (>1024) sur lequel le serveur web doit répondre.
Quand le serveur répond, le port source est 80, le port destination est >1024. Donc tu le bloques (j'ai lu ton script en diagonale, mais je n'ai pas vu de rêgle pour ce cas là)
pour le DNS, le problème est le même en udp, le DNS répond sur le port que ton client lui fournit, et ce port est > 1024 ...
Bon, les autres peuvent me dire si je me gourre.
Armen, qui prendra le temps un jour (peut être) de tester ses allégations.
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#4 29/09/2004 22:26:59
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : C'est dur netfiler...
As-tu chargé le module qui assure le suivi de connexion ?
# Chargement des modules pour le suivit de connexion
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc2 lignes importantes pour le suivi de connexion :
iptables -t filter -A OUTPUT -o ppp0 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPTArmen qui s'est fait plaisir et qui trouve que 3 messages, ça va aller pour le moment.
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#5 30/09/2004 13:33:46
Re : C'est dur netfiler...
devancer pour le netfilter.
Sérieusement faut arrêter de faire autant de chose dans netfilter, tu laisses tout passer en sortie, tu loggues et tu fasi les règles qui vont bien pour les INPUT. C'est un vrai bordel pour rajouter un service quand ta configuration fais marcher le LAN de la famille.
Bref, pour forcer le full duplex tu as mii-tool
mii-tool -F 100baseTx-FD eth*Développeur FANI
http://www.fani-project.org
Hors ligne
Pages : 1