[IPTABLES] Configuration

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [IPTABLES] Configuration

burgergold

5$? va chez l'diable!

voici mon script de IPTABLES

#!/bin/sh

# Begin $rc_base/init.d/firewall

# set a sane policy: everything not accepted > /dev/null
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# allow local-only connections
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# dns
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

# ping
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-reply -d 192.168.0.0/24 -j ACCEPT

# ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.0.100 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 192.168.0.100 -j ACCEPT

# samba
iptables -A INPUT -i eth0 -p tcp --dport 139 -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -d 192.168.0.0/24 -j ACCEPT

# http
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT

# be verbose on dynamic ip-addresses
echo 2 > /proc/sys/net/ipv4/ip_dynaddr

# enable syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# disable ExplicitCongestionNotification
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# End $rc_base/init.d/firewall

je suis capable de faire un ping vers la machine, mais pas à partir de celle ci:

-bash-2.05b# ping www.google.ca
PING www.google.akadns.net (64.233.161.104): 56 data bytes
ping: sendto: Operation not permitted

---------------
http://www.boincstats.com/signature/user_664861.gif

Publicité

AirbaT

Connection timed out

Tu n'acceptes les ping que pour le réseau local non ?

burgergold

5$? va chez l'diable!

arf oui...

ya moyen que je puisse faire des ping à l'externe mais que l'externe ne puisse pas m'en faire?

---------------
http://www.boincstats.com/signature/user_664861.gif

AirbaT

Connection timed out

Ben oui. Faut laisser sortir les echo-request et accepter les echo-reply.

burgergold

5$? va chez l'diable!

merci

# ping
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-reply -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-request -j ACCEPT

je repasserai surment pour d'autres problèmes dans les prochains jours

---------------
http://www.boincstats.com/signature/user_664861.gif

burgergold

5$? va chez l'diable!

hum je cherche aussi comment faire pour que je puisse me connecter à n'importe quel ftp, ainsi que de permettre l'accès à un éventuel serveur ftp

---------------
http://www.boincstats.com/signature/user_664861.gif

Mjules

Modérateur
Parle dans le vide

salut, perso je préfère utiliser sysctl pour les paramètres noyaux, comme ça, ils sont définis + tôt.

pour iptables, ce tuto est pas mal du tout (en particulier la dernière partie) :
http://christian.caleca.free.fr/netfilter/

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

carot0

salut tout le monde. voila j'essais de configurer iptables mais j'ai des petit soucis sur les port a ouvrir. j'aurais aimé savoir quels port je doit laissé ouvert pour le ftp, GAIM et AMSN.
pour le ftp j'avais ouvert le port 21 mais avec gFTP j'arrive pas a me connecter a mon compte sur multimania

#ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -j ACCEPT

puis voila pour http si vous voyé qu'il manque qq chose

# http
iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT

d'avance merci pour votre aide

edit : je me rend compte que quake3 ne passe plus non plus donc il me faudrais aussi les port pour quake 3

Message édité par carot0 le 27-05-2004 à 20:47:43

---------------
In a world without walls and fences, who needs Windows and Gates

carot0

carot0 a écrit :

#ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -j ACCEPT

puis voila pour http si vous voyé qu'il manque qq chose

# http
iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT

d'avance merci pour votre aide

edit : je me rend compte que quake3 ne passe plus non plus donc il me faudrais aussi les port pour quake 3

bon g reussi pour aim et quake 3
pour amsn je le force a passer par le port 80 si non ca marhce et pour gftp bas g tjrs pas reussi a le faire marche help please

---------------
In a world without walls and fences, who needs Windows and Gates

udok

La racaille des barbus ©clémen

modprobe ip_conntrack_ftp
iptables -I OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT

sinon oublie les sport venant de l'exterieur comme tu faisais, ça sert à rien

avec ces règles, je pense que ça devrait marcher

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

Publicité

carot0

udok a écrit :

ok merci je vais essayer ca

---------------
In a world without walls and fences, who needs Windows and Gates

burgergold

5$? va chez l'diable!

si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0?

---------------
http://www.boincstats.com/signature/user_664861.gif

udok

La racaille des barbus ©clémen

Burgergold a écrit :

si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0?

man iptables !
ppp0 c'est pour moi et carto mais c'est psa forcément pareil pour toi
il faut que tu saches quel est ton interface externe (mais en effet c'est souvent ppp0)

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

burgergold

5$? va chez l'diable!

mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet

faut que j'utilise eth0?

---------------
http://www.boincstats.com/signature/user_664861.gif

udok

La racaille des barbus ©clémen

Burgergold a écrit :

mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet

faut que j'utilise eth0?

ta gateway c'est du linux ? si oui c'est plus logique de foutre ton firewall dessus
sinon bah ton interface c'est sans doute eth0
m'enfin je vais pas te faire tout un cours sur iptables, y-aurait bcp de chose à dire, tu devrais lire un peu de doc

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

burgergold

5$? va chez l'diable!

nah c'est une switch dlink qui route l'internet

j'ai lu la doc de lea, mais c'est quand même général

un petit man iptables serait surement bien

---------------
http://www.boincstats.com/signature/user_664861.gif

udok

La racaille des barbus ©clémen

Burgergold a écrit :

nah c'est une switch dlink qui route l'internet

j'ai lu la doc de lea, mais c'est quand même général

un petit man iptables serait surement bien

un petit google iptables aussi [:dawa]
pour le swith, ça fait pas routeur, tu as un modem routeur ou quoi ??
enfin bref, j'appelle pas ça une gate moi
et dans ce cas en effet, y-a de grande chanse pour que ton interface externe soit eth0

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

carot0

mon script iptables des fois que cela puisse servir et si quelqu'un y vois des truc a ameliorer

#!/bin/bash

# Plus rien ne passe

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#on accepte tout ce qui entre et sort de l'interface de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#on accepte tout ce qui passe par la carte reseau
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

# dns
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

# http/https
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

#ftp
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

#irc
iptables -A INPUT -p tcp --sport 6667 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT

iptables -A INPUT -p tcp --sport 32964 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 32964 -j ACCEPT

#messenger
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --sport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 1863 -j ACCEPT

iptables -A INPUT -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT

#AIM
iptables -A INPUT -p tcp --sport 5190 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -p udp --sport 5190 -j ACCEPT
iptables -A INPUT -p udp --dport 5190 -j ACCEPT

iptables -A INPUT -p tcp --sport 5193 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5193 -j ACCEPT
iptables -A INPUT -p udp --sport 5193 -j ACCEPT
iptables -A INPUT -p udp --dport 5193 -j ACCEPT

#quake 3
iptables -A INPUT -p udp --sport 27950 -j ACCEPT #master server
iptables -A OUTPUT -p udp --dport 27950 -j ACCEPT #master server

iptables -A INPUT -p udp --sport 27960 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27960 -j ACCEPT

iptables -A INPUT -p udp --sport 26000 -j ACCEPT
iptables -A OUTPUT -p udp --dport 26000 -j ACCEPT

iptables -A INPUT -p udp --sport 27000 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27000 -j ACCEPT

iptables -A INPUT -p udp --sport 27910 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27910 -j ACCEPT

# ping
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec des connexions établies
# sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

---------------
In a world without walls and fences, who needs Windows and Gates

burgergold

5$? va chez l'diable!

avec ca ton ftp fonctionne?

parce que je viens de tester sur ftp.gnu.org et jpeux pas faire de ls, le ftp bloque

# ftp
iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT

---------------
http://www.boincstats.com/signature/user_664861.gif

macfennec

Zorro del Sáhara

N'oublie pas le port 20; les data pr le ftp.
Je ne sais plus si ca comporte comme de nouvelle connexion ou comme des connexion préetablie. Par ailleur, il faut parfois activer ou désactiver le mode passif.

---------------
ΞvΞ online player | Topic hfr eve-online

udok

macfennec a écrit :

le port 20 c'est pour le mode actif mais les 3/4 des serveurs sont en mode passif et là pour passer il faut une règle avec ESTABLISHED,RELATED ...

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

AirbaT

Connection timed out

Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose.

carot0

Burgergold a écrit :

en effet le ftp bloque chez moi aussi, pour que ca marche il faut le port 20 en plus et desactiver le mode passif.j'aurai voulu pouvoir me connecter en mode passif mais je n'y arrive pas

edit : ha bas non meme avec le port 20 il bloque pour LIST -aL

puis aussi g rajouté ca en debut de script

# pour autoriser les connexions ftp :
modprobe ip_conntrack_ftp

Message édité par carot0 le 29-05-2004 à 11:42:27

---------------
In a world without walls and fences, who needs Windows and Gates

AirbaT

Connection timed out

AirbaT a écrit :

Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose.

carot0

ha oui aussi g rajouté ces ligne a la fin de mon script :

#log
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES:tout:IGNORE] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP

mais je ne sais pas ou mes log sont ecrit

---------------
In a world without walls and fences, who needs Windows and Gates

udok

carot0 a écrit :

ha oui aussi g rajouté ces ligne a la fin de mon script :

#log
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES:tout:IGNORE] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP

mais je ne sais pas ou mes log sont ecrit

il utilise syslog
apres ça dépend de ta conf de syslog, mais y-a des chances pour que ça attérisse dans /var/log/syslog

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

carot0

udok a écrit :

il utilise syslog
apres ça dépend de ta conf de syslog, mais y-a des chances pour que ça attérisse dans /var/log/syslog

merci

---------------
In a world without walls and fences, who needs Windows and Gates

Publicité

FORUM HardWare.fr

Linux et OS Alternatifs

Logiciels

[IPTABLES] Configuration

Sujets relatifs
Iptables et adresses MAC	configuration de mon routeur
Prob acces internet + iptables	iptables et ports ouverts cachés !
[LIRC] configuration /etc/sysconfig/lirc	Configuration d'IPTABLES pour un reseau
configuration IPTABLES	Configuration Firewall, iptables, interfaces graphiques
ma configuration iptables...	[CONFIGURATION]iptables
Plus de sujets relatifs à : [IPTABLES] Configuration

Page générée en 0.112 secondes