iptables me bloque tous

bloodaxe · 10/07/2004 00:31:53

Bonjour, j'ai un soucie avec iptables, je ne peux plus rien faire, ni accèder a un site web ni a aim ou msn que dalle quoi, pourtant je les ai autoriser.
voila mon script:

#!/bin/sh 
# script /etc/Firewall/firewall.sh 
printf "33[32m°oO0[~~~~~~~~~~~~~~~~~~~~~~Lancement Firewal~~~~~~~~~~~~~~~~~~~~~]0Oo°"
printf  "33[0mn"
#On purge les anciennes règles
iptables -F
iptables -X
#On interdit tous en entré
iptables -P INPUT DROP
#on autorise tous en sortie
iptables -P OUTPUT ACCEPT
#On autorise la boucle local
iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -o lo -s  0.0.0.0/0 -d 0.0.0.0/0  -j ACCEPT
#On interdit l'ICMP
#iptables -A INPUT -p icmp -j DROP
#On autorise les connexions HTTP sur ppp0
iptables -A INPUT -p tcp -i ppp0 --dport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --sport 80  -m state --state ! INVALID -j ACCEPT
#On autorise les connexions HTTPS sur ppp0
#iptables -A INPUT -p tcp -i ppp0 --dport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUPUT -p tcp -o ppp0  --sport 443 -m state --state ! INVALID -j ACCEPT
#On autorise les connexions Webmin sur ppp0
iptables -A INPUT -p tcp -i ppp0 --dport 10000 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --sport 10000 -m state --state ! INVALID -j ACCEPT
#On autorise AIM
iptables -A INPUT -p tcp -i ppp0 --dport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --sport 5190 -m state --state ! INVALID -j ACCEPT
#On autorise MSN
iptables -A INPUT -p tcp -i ppp0 --dport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --sport 1863 -m state --state ! INVALID -j ACCEPT
#On autorise le DNS
iptables -A INPUT -p udp -i ppp0 --dport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -o ppp0 --sport 53 -m state --state ! INVALID -j ACCEPT

j'aurise tous en sorti (c'est provisoire) et ca ne marche quand même pas, j'ai beau lire et relire des doc, je ne trouve pas d'ou vien le probleme.

bloodaxe · 10/07/2004 01:13:58

Bon je vois ou est le probleme mais je ne sais comment le regler.
J'ai sniffer ce qui passait sur mon modem, lorsque je tente de me connecter a un site internet.
J'en vois un requete DNS au seveur sur son port 53 udp. le firewall la laisse passer tranquille.
Ensuite il me repond sur un port ouvert dynamiquement la c'est le 34205, ce que le firewall refuse (et c'est normal).

Ai-je raison?

Si oui comment autoriser un port allouer dynamiquement????

black.myst · 10/07/2004 01:18:40

je ne suis pas du tout expert dans la configuration d'iptable.... mais il me semble que tu te trompe dans le raisonnement !

Est-ce que c'est la configuration d'un serveur que tu fais, ou plus vraissemblablement la configuration de ta machine perso ?

Le fait d'hebergé un serveur AIM sur ta machine etant plus que hautement improbable, j'en deduis donc que tu essaie de configurer le firewall de ta machine perso, connecté à internet via une connection modem ou adsl ppp0

Lorsque tu souhaite de connecté à AIM, MSN ou un site web, voila ce qui se passe :
-> Tu envoie un paquet au serveur sur son port (80 pour le web), et tu lui demande de te repondre en donnant ton IP et un port.
Cette étape marche très bien, puisque tu autorise toutes les paquets sortant
-> Le serveur accept ta connexion et te renvoie donc un paquet vers l'ip et le port de ta machine.
Le problème, c'est que le port de ta machine n'est pas le port 80 comme tu souhaite le pensé, mais un port pris au hazare dans ceux qui sont libre et >1024 (les port <1024 nécessite les droits root)
Comme tu n'autorise que les paquets entrant sur les port 80,443,... ton paquet est détruit par le firewall
donc tu recevras aucune réponse de la part des serveurs que contact

Je pense que si tu remplace le début de ton script par

#On interdit tous en entré
iptables -P INPUT ACCEPT
#on autorise tous en sortie
iptables -P OUTPUT DROP

Tu pourras te connecté au web et a AIM sans problème (à moins qu'il y ai d'autres erreurs :-) )
Si le but est de limité les utilisateurs de ta machine à certain service, alors ce doit etre ok, si tu veux interdire aux personnes extérieur de se connecté, c'est presque réussit, puisque pour intérogé les services de ta machine, il devront se faire chier à rediriger la réponse vers un des ports que tu autorise. Ca ne te protège pas d'un hacker compétant, mais devrait découragé pas mal de script kiddies.

Si maintenant tu pouvais nous renseigner sur ce que tu voullais bloqué, pourquoi... bref, toutes infos qui pourrait nous permettre de t'aider sans faire moulte hypothèse, c'est le moment ou jamais de le dire !

Amuse toi bien.
@+

black.myst · 10/07/2004 01:32:06

Si tu veux interdire a toutes personne extérieur de se connecté à ta machine, je pense que tu peux autorisé tous les paquets entrant (par defaut), et interdire tous ceux avec un etat NEW.
Cependant, cette solution est a mettre au conditionnel, je ne suis pas sur de la traduction que je peux faire de la docs, Est-ce que l'aquitement d'une connexion (la reponse à une connexion de notre machine par le serveur) est considéré comme ESTABLISHED ou NEW (puisque l'acquitement porte aussi le flag d'établissement de connection dans TCP) ????

Sinon, pour ce qui concerne tes regle de DNS, je suis pas sur qu'il soit consistant de parler d'etat de connexion pour de l'udp

Perso, sur ma machine, j'autorise tout le trafique, sur tous les ports... sauf le 21 depuis ppp0 (le serveur ftp est réservé au réseau local). Je me contante de controller les services démarrés, ca me suffit comme protection. (Je sais bien que c'est pas forcement suffisant, mais je pense pas que les grand hacker s'interresse plus que ca à ma machine)

bloodaxe · 10/07/2004 12:50:44

Salut ben en faite, c'est sur mon ordi perso que je fait ce firewall. Mias j'ai un serveur Web, et je voudrais bloquer l'accès a tous les ports sauf le 80. Et surtout pouvoir surfer lol.

black.myst a dit:
[code]
#On interdit tous en entré
iptables -P INPUT ACCEPT
#on autorise tous en sortie
iptables -P OUTPUT DRO
[code]

eu c'est l'inverse.

FhOb · 10/07/2004 14:47:15

iptables -F
iptables -X
iptables -P INPUT DROP # On interdit tout en entree par defaut
iptables -P OUTPUT ACCEPT # On autorise tout en sortie par defaut
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # on autorise l'interface loopback
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # On autorise les connections deja etablies
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/s ! --fragment -j ACCEPT # On autorise le ping
iptables -A INPUT -p tcp --tcpflags SYN,ACK,RST,FIN SYN --dport 80 -m limit --limit 1/s -j ACCEPT # On autorise les connections sur le port 80
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcast

bloodaxe · 10/07/2004 15:06:53

alors la faut qu'on m'explique:
dans mon scrit j'ai bien mis

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

et je ne pouvais pas sufer ni rien faire du tous.
Comme j'en avvez un peu marre :evil:. J'ai tous effacer ce que j'ai fais, et copier le script que FhOb a mis dans le post précédent et ca marche.
pourquoi le mien veut passssssssssss

FhOb · 10/07/2004 20:00:59

c'est parce que lorsque que tu autorise tout en sortie il faut autoriser aussi la reponse a ta sortie par un :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
un qui valide toute les entree a condition qu'elle soit dans l'etat etabli ou relatif chose tu n'a pas fait dans ton script

bloodaxe · 11/07/2004 00:40:49

ah ok merci beaucoup

Andesi - forum

#1 10/07/2004 00:31:53

iptables me bloque tous

#2 10/07/2004 01:13:58

Re : iptables me bloque tous

#3 10/07/2004 01:18:40

Re : iptables me bloque tous

#4 10/07/2004 01:32:06

Re : iptables me bloque tous

#5 10/07/2004 12:50:44

Re : iptables me bloque tous

#6 10/07/2004 14:47:15

Re : iptables me bloque tous

#7 10/07/2004 15:06:53

Re : iptables me bloque tous

#8 10/07/2004 20:00:59

Re : iptables me bloque tous

#9 11/07/2004 00:40:49

Re : iptables me bloque tous

Pied de page des forums