Andesi - forum
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 05/06/2004 21:55:23
iptables et résolution de DNS
Bonjour
Lorsque je met en route les regles iptables suivantes, j'obtiens :
Une déconnection de l'irc
La possibilité de pinguer une adresse ip sur internet
L'impossibilité d'avoir une résolution de DNS (ping www.google.com dans les chous par exemple)
Si quelqu'un pouvais m'expliquer la ou ca flanche....parce que je suis a bout... je pige pas le bleme
Merci
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 1863 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 6667 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p igmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j REJECTKatyucha
L'art de poser une question
Hors ligne
#2 05/06/2004 22:04:51
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : iptables et résolution de DNS
iptables -A INPUT -i eth0 -p igmp -j ACCEPT
c'est dans ton script cette faute de frappe ?
Sinon, tu autorises tout à sortir et tu autorises les connexions établies, donc pas besoins de préciser pour le port 53, non ?
Bonne chance, c'est toujours prise de tête iptables au début 
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#3 05/06/2004 22:16:30
Re : iptables et résolution de DNS
iptables -A INPUT -i eth0 -p igmp -j ACCEPT
c'est dans ton script cette faute de frappe ?
Sinon, tu autorises tout à sortir et tu autorises les connexions établies, donc pas besoins de préciser pour le port 53, non ?
Bonne chance, c'est toujours prise de tête iptables au début
ah oui, tiens ma ligne icmp dupliqué avec problèmes...
Merci bien pour la faute et l'encouragement
j'ai oublié de rajouter mon serveur DNS est chez mon FAI et déclaré dans le resolv.conf
Katyucha
L'art de poser une question
Hors ligne
#4 08/06/2004 10:22:33
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : iptables et résolution de DNS
As-tu trouvé une solution à ton problème ?
J'ai pas bien compris ta dernière ligne : Est-ce que tu veux dire que le problème de ping sur un nom "qualifié" est juste dû à un problème de DNS mal renseigné ?
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#5 08/06/2004 13:39:10
Re : iptables et résolution de DNS
As-tu trouvé une solution à ton problème ?
J'ai pas bien compris ta dernière ligne : Est-ce que tu veux dire que le problème de ping sur un nom "qualifié" est juste dû à un problème de DNS mal renseigné ?
En fait, je pense qu'en effet que le problème de ping sur un nom "qualifié" est du a l'activation de mes regles IPTABLES. Ce que je ne comprend pas, c'est que je définis justement le port 53 comme ouvert en tcp et udp, d'où mon interrogation...
Je suis complétement perdu. Mes recherches n'ont pour l'instant rien donné.
Je vais peut etre suivre le conseil de Ptitlouis et essayer Shorewall, mais j'aurai bien aimé aboutir
Katyucha
L'art de poser une question
Hors ligne
#6 08/06/2004 15:35:36
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : iptables et résolution de DNS
Bon, déjà ouvrir le port 53, ça ne sert que si tu as un serveur DNS sur ton poste et qu'il est interrogé par qqn qui est sur le net.
Ton logiciel (qui est vu comme un client par le DNS du FAI) contacte le port 53 du DNS en lui disant de répondre sur le port x (> 1024) parce que le port 53 sur ton système est réservé pour un DNS local.
Donc le port 53 en INPUT, c'est inutile, voir dangereux si tu as un DNS local mal configuré (Bind est pas le truc le plus sûr qui soit).
Après, faut que je regarde sérieusement...
Peut être demain, puisque je viens en train, donc j'ai du temps de libre pour éplucher quelques doc, mon script, ...
Pour l'IRC, il faut charger quelques modules du genre ip_conntrack, non ???
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#7 10/06/2004 06:55:26
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : iptables et résolution de DNS
Bonjour,
voici ce que dit Olivier Allard-Jacquin sur le suivi de connexion :
Voyons maintenant comment mettre en oeuvre cette technique. Le système de suivit de connexion de Netfilter n'est pas forcément compilé dans le kernel, donc si ce n'est pas le cas, vous devez d'abord charger le module "ip_conntrack" :
[root@phoenix /]# modprobe ip_conntrack
Si vous envisagez d'utiliser vos clients FTP en mode passif, ou que vous compter utiliser l'IRC, vous avez la possibilité de charger les modules "ip_conntrack" qui supportent ces protocoles :
[root@phoenix /]# modprobe ip_conntrack_ftp
[root@phoenix /]# modprobe ip_conntrack_irc
donc si le module qui va bien n'est pas chargé (ou pas compilé en dur dans le noyeau)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ne fonctionne pas, donc les réponses du DNS sont filtrées.
J'ai dit une bétise (je l'avoue) igmp est bien un protocole (multicast ???).
Tiens nous averti de l'avancement de ce sujet.
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#8 10/06/2004 17:14:18
Re : iptables et résolution de DNS
Salut,
pour pouvoir toujours accéder à irc en appliquant tes regles change
iptables -A INPUT -i eth0 -p tcp --dport 6667 -j ACCEPT
par
iptables -A INPUT -i eth0 -p tcp --sport 6667 -j ACCEPT
pour pouvoir efectuer une résolution de DNS change
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
par
iptables -A INPUT -i eth° -p udp --sport 53 -j ACCEPT
Ton problème vient du fait qu'en mettant --dport dans la chaine INPUT, tu accepte des connections entrantes comme si tu avais un serveur IRC ou DNS. Mais visiblement tu es un client, donc les paquets ip que tu reçois n'arrivent ni sur le port 53 pour le DNS, ni sur le port 6667 pour l'IRC
Hors ligne
#9 10/06/2004 17:18:25
Re : iptables et résolution de DNS
re ...
un oubli ...
selon moi rien ne sert d'ouvrir le port 53 en tcp pour utiliser le DNS
je n'ai jamais eu de problème en le fermant en tout cas.
Un serveur DNS semble fonctionner uniquement en udp
Hors ligne
#10 10/06/2004 17:26:45
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : iptables et résolution de DNS
Si je me souviens de mes cours TCP/IP, le serveur DNS, tu commence à lui parler sur le port 53, mais dans la procédure de connexion, le client et le serveur se mettent d'accord pour utiliser un port > 1024 pour ne pas encombrer le port 53.
Me goure-je ?
Donc le suivi de connexion devrait suffir. Puisque la connexion est initiée par la machine de notre ami Katyucha.
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#11 10/06/2004 22:42:18
- OcamlScheme
- Membre
- Lieu : Paris
- Inscription : 23/04/2003
- Messages : 3 026
Re : iptables et résolution de DNS
Un serveur DNS semble fonctionner uniquement en udp
Tu peux même y aller carrément ... un serveur DNS ne tourne qu'en UDP !
OS
Debian in Sid
Hors ligne
Pages : 1