Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1499 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Règle iptables

n°848217
binouche22
Posté le 03-10-2006 à 20:08:05  profilanswer
 

Bonjour,
 
Je laisse mon voisin accèder à Internet de chez moi en wifi, mais ne veux pas qu'il ait accès à mes partages de fichiers (sur  windows).
Quelles commande iptables dois-je taper sur mon routeur linksys wrt54g pour refuser toute utilisation de ce protocole (SMB?) pour la machine 192.168.1.104?
 
merci.
binouche22

mood
Publicité
Posté le 03-10-2006 à 20:08:05  profilanswer
 

n°849300
binouche22
Posté le 06-10-2006 à 20:47:02  profilanswer
 

up

n°849307
P-Y
Posté le 06-10-2006 à 21:03:35  profilanswer
 

http://howto.stephane-huc.net/IpTables/ports/
 
en remplacant accept par drop et en rajoutant les bonnes ip source et destination

n°849368
binouche22
Posté le 07-10-2006 à 10:17:46  profilanswer
 

merci pour l'info, j'ai donc fait
 

Code :
  1. # EPMAP => définit toutes les RPC !
  2. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 135 -j DROP
  3. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 135 -j DROP
  4. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 135 -j DROP
  5. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 135 -j DROP
  8. # NetBios-NS
  9. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 137 -j DROP
  10. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 137 -j DROP
  11. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 137 -j DROP
  12. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 137 -j DROP
  14. # NetBios-DGM => exploration du réseau (basé sur SMB browser service)
  15. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 138 -j DROP
  16. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 138 -j DROP
  19. # NetBios-SSN => partage fichiers, imprimantes par Microsoft
  20. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 139 -j DROP
  21. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 139 -j DROP
  23. # SMB/IP => partage fichiers, imprimantes par SaMBa
  24. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 445 -j DROP
  25. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 445 -j DROP
  26. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 445 -j DROP
  27. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 445 -j DROP


 
.... mais ça ne marche pas :( , c'est comme si j'avais rien fait...


Message édité par binouche22 le 07-10-2006 à 11:34:28
n°849471
P-Y
Posté le 07-10-2006 à 17:34:47  profilanswer
 

comment ca "ca marche pas"? il a toujours acces a tes partages? comment tu peux le savoir?

n°849551
binouche22
Posté le 07-10-2006 à 23:36:55  profilanswer
 

j'ai testé en donnant a un de mes ordis cette adresse ip et il accède sans soucis aux partage de fichiers...

n°849564
krifur
Posté le 08-10-2006 à 00:57:27  profilanswer
 

que te renvoit un :
 
 iptables -L -v -n

Message cité 1 fois
n°849599
binouche22
Posté le 08-10-2006 à 10:44:39  profilanswer
 

krifur a écrit :

que te renvoit un :
 
 iptables -L -v -n


 


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
  437 37537 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    1    64 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           state NEW
   24  1118 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logdrop    icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 logdrop    2    --  *      *       0.0.0.0/0            0.0.0.0/0
   35  6588 logdrop    all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:135
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:135
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:138
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:139
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:445
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:445
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:135
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:135
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:138
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:139
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:445
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:445
 
 
[...]
 
Chain OUTPUT (policy ACCEPT 470 packets, 168K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:135
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:135
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:138
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:139
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:445
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:445
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:135
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:135
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:138
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:139
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:445
 
[...]


 
désolé c'est peu lisible =(

n°849632
l0ky
Posté le 08-10-2006 à 12:45:42  profilanswer
 

si c'est tu ton openwrt que tu as mis ca, il faut utiliser les chaines FORWARD, pas INPUT/OUTPUT !

n°849661
binouche22
Posté le 08-10-2006 à 14:59:27  profilanswer
 

Citation :

si c'est tu ton openwrt que tu as mis ca, il faut utiliser les chaines FORWARD, pas INPUT/OUTPUT !


 
je suis vraiment pas doué avec iptables, tu pourrais me donner un exemple?

mood
Publicité
Posté le 08-10-2006 à 14:59:27  profilanswer
 

n°849696
l0ky
Posté le 08-10-2006 à 17:23:11  profilanswer
 

Les chaines INPUT et OUTPUT sont respectivement pour le traffic arrivant et sortant SUR et DE la machine sur laquelle iptables est installé.
 
La chaine FORWARD est pour le traffic qui TRANSITE par le firewall
Du coup pour ton probleme tu devrait mettre
 
iptables -A FORWARD ...
 
Jette un coup d'oeil a ce site pour comprendre comment iptables marche:
http://christian.caleca.free.fr/netfilter/filter.htm
http://christian.caleca.free.fr/netfilter/iptables.htm


Message édité par l0ky le 08-10-2006 à 17:25:33
n°849741
binouche22
Posté le 08-10-2006 à 21:24:20  profilanswer
 

bon j'ai mis ca mais ca marche tjs pas...
 

# EPMAP => définit toutes les RPC !
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 135 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 135 -j DROP
 
 
# NetBios-NS
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 137 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 137 -j DROP
 
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 138 -j DROP
 
 
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 139 -j DROP
 
# SMB/IP => partage fichiers, imprimantes par SaMBa
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 445 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 445 -j DROP


n°850038
P-Y
Posté le 09-10-2006 à 23:33:26  profilanswer
 

Tu peux essayer en mettant la politique par defaut sur DROP, comme ca si un paquet ne matche aucune regle, il est droppe, c'est recommande dans la grande majorite des tutos de firewalling.
 
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  DROP


Aller à :
Ajouter une réponse
 

Sujets relatifs
IPTables: Regle pour AIMiptables : règle OUTPUT sur une passelle pour accès au net
Règle de parefeu par pid ("iptables -A INPUT --pid 8395 -j DROP") ?règle iptables
Cette regle iptables ...Petite question sur une règle Iptables...
Une regle Iptables ...explication sur une règle iptables
[IPTables] Un règle avancée ....regle iptables en dur
Plus de sujets relatifs à : Règle iptables

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.040 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR