Bonjour,
Je viens demander de l'aide ici pour un problème avec iptables.
Le contexte: la machine sur laquelle est installé iptables est un mini PC sous Debian sur lequel est installé un portail captif (CoovaChilli) pour gérer un accès internet public. Les règles iptables permettent de rediriger le trafic.
Le problème: je ne suis pas la personne qui a développé le truc, et je cherche à ajouter des règles dans iptables pour bloquer certains ports (notamment ceux qui sont associés au P2P) alors que je découvre tout juste ce pare-feu
J'ai tenté plusieurs choses en essai-erreur, sans résultat. Le fichier que je tente de modifier est celui dans lequel se trouvent les règles (/etc/iptables/iptables-active), il est appelé au lancement de la machine par une ligne dans le /etc/network/interfaces:
pre-up iptables-restore < /etc/iptables/iptables-active |
Le voici:
# Generated by iptables-save v1.4.2 on Thu Apr 22 17:01:54 2010
*filter
:INPUT ACCEPT [2751:391028]
:FORWARD ACCEPT [6:699]
:OUTPUT ACCEPT [1369:439163]
-A INPUT -p tcp -m tcp --dport 3128 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -j ULOG
COMMIT
# Completed on Thu Apr 22 17:01:54 2010
# Generated by iptables-save v1.4.2 on Thu Apr 22 17:01:54 2010
*nat
:PREROUTING ACCEPT [2797:266847]
:POSTROUTING ACCEPT [23:1481]
:OUTPUT ACCEPT [23:1481]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 192.168.10.0/24 -i tun0 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i tun0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 22 17:01:54 2010
|
Une connaissance ayant déjà mis en place un proxy sous 'Nux dans sa boîte a tenté de me filer un coup de main, sans résultat. Toutefois, il m'a dit que les lignes dans *filter étaient inutiles, ainsi que les lignes PREROUTING POSTROUTING et OUTPUT dans *nat. Effectivement, lorsque je les commente et que je reboote, le portail fonctionne tout aussi bien.
Les règles qu'il m'a fait ajouter dans la table *filter sont les suivantes:
-A INPUT -i eth0 --destination-port 51413 -j DROP
-A FORWARD -i eth0 --destination-port 51413 -j DROP
-A OUTPUT -o eth0 --destination-port 51413 -j DROP |
D'après ce que je comprend, elles devraient bloquer toute entrée, sortie ou routage en local des paquets sur le port 51413 (j'ai utilisé ce port car il correspond à Transmission, c'est avec ce logiciel que je teste le blocage ou non).
Mais en réalité, dès que j'active une de ces règles (ou toutes celles-ci), c'est tout mon trafic qui est bloqué, je n'ai plus du tout accès au net sur ma bécane de test
Une idée ? Je m'attaque à redévelopper tout depuis 0 dès que j'ai du temps, ce qui est pas gagné, là je cherche un palliatif.
D'avance merci
---------------
Encore une victoire de canard !