Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-05-2015 18:38:54

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

pare-feu ipv4 et ipv6 configuré

Bonsoir

je reprend la configuration de mon pare-feu de ma passerelle .

pour commencer j aimerai bloquer l ipv6 venant de mon sous-reseau vers le reseau local ou se trouve le modem-routeur.
j ai déja des regles ipv4 qui sont chargé au démarrage , je sais qu il existe iptables pour ipv4 et ip6tables pour ipv6 .
ma question est comme je lance ces 2 tables .
par 2 lignes dans la configuration de ma carte eth0 ?

#eth0
up ma config ipv4
up ma config ipv6

ou il y a une autre méthode

merci

@++

Hors ligne

#2 06-05-2015 19:15:28

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pare-feu ipv4 et ipv6 configuré

robert2a a écrit :

ma question est comme je lance ces 2 tables .

J'ai une petite idée mais j'ai bien peur qu'elle soit fracassante ... wink


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 06-05-2015 19:19:06

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

heureusement qu il y a des gens serieux  http://debian-facile.org/doc:reseau:ipv6 wink

je m instruits silence tongue

@++

Dernière modification par robert2a (06-05-2015 21:38:30)

Hors ligne

#4 06-05-2015 19:24:04

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pare-feu ipv4 et ipv6 configuré

Merci pour le lien  smile
Chuuuuut, je m'instruit aussi  wink

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 06-05-2015 19:26:48

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

bon je met ce qui m interresse tongue , pas la peine de filtrer , j interdit ipv6  sauf que ça ne fonctionne pas hmm


Toutes interfaces

testé par smolski le 23/11/2012 à 11h48

Pour désactiver l’IPV6 sur toutes les interfaces de la machine, passer à “1? le contenu de :

 /proc/sys/net/ipv6/conf/all/disable_ipv6

et de :

 /proc/sys/net/ipv6/conf/default/disable_ipv6

(politique par défaut)

Par sécurité, afin d’éviter qu’une configuration par défaut soit appliquée aux interfaces, mettez également à 0 2)les paramètres de configuration automatique de l’IPV6 /proc/sys/net/ipv6/conf/all/autoconf et /proc/sys/net/ipv6/conf/default/autoconf

Voici les commandes successives qui le permettent à exécuter toujours en root :

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

echo 0 > /proc/sys/net/ipv6/conf/all/autoconf

echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6

echo 0 > /proc/sys/net/ipv6/conf/default/autoconf

Le résultat est immédiat :

cat /proc/net/if_inet6

Le fichier est vide.
 




post modifié , erreur de ma part sur l interpretation du wiki ipv6

Dernière modification par robert2a (06-05-2015 21:37:48)

Hors ligne

#6 06-05-2015 19:31:39

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pare-feu ipv4 et ipv6 configuré

Tu es sûr que ton admin est root ?  big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#7 06-05-2015 19:33:17

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

oui pffff  te moque pas , je reboot

bon ne fonctionne pas pour moi

modifié: voir wiki ipv6

Dernière modification par robert2a (06-05-2015 21:40:51)

Hors ligne

#8 06-05-2015 20:10:26

raleur
Membre
Inscription : 03-10-2014

Re : pare-feu ipv4 et ipv6 configuré

Tu confonds "passer à “1? le contenu de X" (ce que tu cites) avec "exécuter X" (ce que tu essaies de faire) où X est un pseudo-fichier de /proc servant à accéder à un paramètre du noyau et n'est évidemment pas exécutable.

Hors ligne

#9 06-05-2015 20:23:59

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Bonsoir raleur

pour que tu comprenne il faut voir ce fil => http://debian-facile.org/viewtopic.php?id=1388

ma premiere intention etait de filtrer ipv6 , je suis tombé sur ce tuto , qui ne fonctionne pas pour moi.

je l ai signalé , je suis sur une machine de test pour me faire la main .

Dernière modification par robert2a (06-05-2015 20:27:42)

Hors ligne

#10 06-05-2015 20:33:55

raleur
Membre
Inscription : 03-10-2014

Re : pare-feu ipv4 et ipv6 configuré

Apparemment tu n'as pas compris que tout ce qui est dans /proc est volatil. Ce n'est pas un vrai système de fichiers, c'est une interface avec le noyau. Il faut appliquer les modifications après chaque démarrage, les fichiers /etc/sysctl.conf et /etc/sysctl.d/*.conf sont là pour ça.

Hors ligne

#11 06-05-2015 20:44:50

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

ok merci , je regarde ça et d appliquer a chaque démarrage la désactivation d ipv6 .

Hors ligne

#12 06-05-2015 20:54:01

raleur
Membre
Inscription : 03-10-2014

Re : pare-feu ipv4 et ipv6 configuré

Autrement, il y a l'option à ajouter à la ligne de commande du noyau dans /etc/default/grub + update-grub, comme indiqué dans le wiki il me semble.

Hors ligne

#13 06-05-2015 21:25:38

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

voila j'ai ajouté a la fin de mon sysctl.conf ceci  , et ça a l air d etre correct


#desactivation d ipv6

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0
 



sysctl -p



cat /proc/net/if_inet6




le fichier est vide

je mettrai en application sur  la passerelle
je vai pouvoir me concentrer sur le filtrage d ipv4 smile

merci pour l info

Dernière modification par robert2a (18-05-2015 17:54:09)

Hors ligne

#14 07-05-2015 04:59:55

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Bonjour

le lien du tuto ne fonctionne plus  https://debian-facile.org/viewtopic.php?id=9873

page inexistante

Hors ligne

#15 07-05-2015 06:57:10

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : pare-feu ipv4 et ipv6 configuré

OK ! Merci j'ai mis le bon lien ci-dessous dans la page :
iptables: un pare-feu pour une passerelle smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#16 07-05-2015 07:08:44

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

ok merci en fait le bon lien etait en fin de post , idem pour un pare-feu pour un client (meme soucis )

http://debian-facile.org/atelier:chanti … -un-client

je suis en train de réviser mes regles du pare-feu , une forte migraine hmm

tongue

voici ma configuration

## fichier /etc/iptables.save


# Generated by iptables-save v1.4.21 on Sat Nov 22 07:32:49 2014
*mangle
:PREROUTING ACCEPT [42507:42373799]
:INPUT ACCEPT [4337:5439140]
:FORWARD ACCEPT [38170:36934659]
:OUTPUT ACCEPT [3438:222646]
:POSTROUTING ACCEPT [41606:37157225]
COMMIT
# Completed on Sat Nov 22 07:32:49 2014
# Generated by iptables-save v1.4.21 on Sat Nov 22 07:32:49 2014
*nat
:PREROUTING ACCEPT [337:23677]
:INPUT ACCEPT [119:10405]
:OUTPUT ACCEPT [439:32485]
:POSTROUTING ACCEPT [51:3452]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Nov 22 07:32:49 2014
# Generated by iptables-save v1.4.21 on Sat Nov 22 07:32:49 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Sat Nov 22 07:32:49 2014
 


## fichier /etc/network/interfaces


# boucle locale
auto lo
iface lo inet loopback

# regle pare-feu
post-up iptables-restore < /etc/iptables.save

# carte eth0
auto eth0
iface eth0 inet static
address 192.168.1.10
network 192.168.1.0
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 80.10.246.130

# config wondershaper
# limite le debit a 6000kb et 400kb/s
up /sbin/wondershaper eth0 6000 400
# supprime le controle de debit sur eth0
 down /sbin/wondershaper remove eth0


# carte eth1
auto eth1
iface eth1 inet static
address 192.168.10.1
network 192.168.10.0
netmask 255.255.255.0
 



ma premeiere question sera , avec systemd , le chargement de ma table de regles est correct ?

et la deuxieme question sur pre-up iptables-restore et post-up iptables-restore , sur le tuto on parle de table pour chaque interfaces

ça m interresse , le filtrage de eth0 est plus important que celui de eth1
pour eth0 , dns , ntp , http , mise a jour apt (du serveur et du cache ) ,  seveur exim4 (smtp)
pour eth1 fournit un dns local maitre , dhcp , ntp , ssh , un cache apt pour les mises a jour client (par inetd et approx ) client et serveur exim4

comme je galere , dans un premier temps filtrer uniquement eth0 sera déja tres bien . smile
actuellement je ne fait que router eth0 vers eth1 et vice versa , tout est sur accept  tongue

Dernière modification par robert2a (07-05-2015 09:23:44)

Hors ligne

#17 07-05-2015 07:46:13

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : pare-feu ipv4 et ipv6 configuré

Impec, modifié aussi !

cool

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#18 07-05-2015 08:45:55

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pare-feu ipv4 et ipv6 configuré


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#19 07-05-2015 09:13:42

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

j ai testé ceci , toujours parreil ne fonctionne pas , si je passe input a drop (avec ma config ci dessus ), ne fonctionne plus apt-get serveur , certain site comme debian facile (la page orange fonctionne ) apt-get client enfin pour moi le wiki demande reflexion


# Generated by iptables-save v1.4.21 on Thu May  7 08:51:46 2015
*filter
:INPUT DROP [1:76]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:76]
:ftp_in_accept - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ftp_in_accept
-A INPUT -i eth0 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ftp_in_accept
-A INPUT -i eth0 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ftp_in_accept
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8080 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8080 -m state --state NEW,ESTABLISHED -j ACCEPT
-A ftp_in_accept -p tcp -j ACCEPT
COMMIT
# Completed on Thu May  7 08:51:46 2015
# Generated by iptables-save v1.4.21 on Thu May  7 08:51:46 2015
*nat
:PREROUTING ACCEPT [9:1292]
:INPUT ACCEPT [5:1052]
:OUTPUT ACCEPT [35:2476]
:POSTROUTING ACCEPT [22:1648]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu May  7 08:51:46 2015
# Generated by iptables-save v1.4.21 on Thu May  7 08:51:46 2015
*mangle
:PREROUTING ACCEPT [582:72010]
:INPUT ACCEPT [482:36462]
:FORWARD ACCEPT [100:35548]
:OUTPUT ACCEPT [349:44076]
:POSTROUTING ACCEPT [469:81144]
COMMIT
# Completed on Thu May  7 08:51:46 2015

 



ok paskal je regarde tes liens  smile

ps: il me manque la regle pour ntp , apt-get utilise je pense un protocole ftp et ou http , ssh d un client sur le serveur fonctionne sur eth1 , puisque je garde la main sur le serveur depuis le client .

Dernière modification par robert2a (07-05-2015 10:24:22)

Hors ligne

#20 07-05-2015 09:20:05

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

ntp il est ou ?

sur le wiki tongue

FTP = TCP 21/20
SSH = TCP 22
Telnet = TCP 23
Web/http = TCP 80
SSL/https = UDP 4432)
DNS = UDP = 53
DHCP = UDP = 67 et 68
SAMBA = 137-139 et 445 (voir ci-dessous)
NETBIOS = 137-139
ACTIVE DIRECTORY = 445 NetBios/DNS
SMTP = (email out) 253)
POP3 = email in) 1104)
IMAP = (email in) 1435)
VPN = 1723
KERBEROS = 886)
SNMP =161/162

oups j ai oublié le smtp aussi pour exim4  sad
je continue la lecture roll

@paskal
c est les meme liens que ce que j ai signalé au dessus cool

Dernière modification par robert2a (07-05-2015 09:27:36)

Hors ligne

#21 07-05-2015 09:35:21

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

ma table de routage


route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

 



ntp utilise le port 123 en udp , j ai rajouté une regle

mon dernier iptables avec ntp et smtp sur eth0


# Generated by iptables-save v1.4.21 on Thu May  7 10:47:31 2015
*mangle
:PREROUTING ACCEPT [3036:1548927]
:INPUT ACCEPT [160:21313]
:FORWARD ACCEPT [2876:1527614]
:OUTPUT ACCEPT [133:18096]
:POSTROUTING ACCEPT [3015:1546238]
COMMIT
# Completed on Thu May  7 10:47:31 2015
# Generated by iptables-save v1.4.21 on Thu May  7 10:47:31 2015
*nat
:PREROUTING ACCEPT [81:5277]
:INPUT ACCEPT [32:2337]
:OUTPUT ACCEPT [59:4605]
:POSTROUTING ACCEPT [8:608]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu May  7 10:47:31 2015
# Generated by iptables-save v1.4.21 on Thu May  7 10:47:31 2015
*filter
:INPUT ACCEPT [9:360]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ftp_in_accept - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ftp_in_accept
-A INPUT -i eth0 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ftp_in_accept
-A INPUT -i eth0 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ftp_in_accept
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8080 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8080 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ftp_in_accept -p tcp -j ACCEPT
COMMIT
# Completed on Thu May  7 10:47:31 2015
 



resumé



root@debian10:/home/robert# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ftp_in_accept  tcp  --  anywhere             anywhere             tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
2    ftp_in_accept  tcp  --  anywhere             anywhere             tcp spt:ftp-data state RELATED,ESTABLISHED
3    ftp_in_accept  tcp  --  anywhere             anywhere             tcp spt:ftp state RELATED,ESTABLISHED
4    ACCEPT     all  --  anywhere             anywhere            
5    ACCEPT     all  --  anywhere             anywhere            
6    ACCEPT     udp  --  anywhere             anywhere             udp spt:domain state ESTABLISHED
7    ACCEPT     tcp  --  anywhere             anywhere             multiport sports http,https,http-alt state ESTABLISHED
8    ACCEPT     udp  --  anywhere             anywhere             udp spt:ntp state ESTABLISHED
9    ACCEPT     tcp  --  anywhere             anywhere             multiport sports smtp,2525,submission,urd,imap2,imaps,pop3s state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     all  --  192.168.10.0/24      anywhere             state NEW,RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             192.168.10.0/24      state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  anywhere             anywhere            
2    ACCEPT     all  --  anywhere             anywhere            
3    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain state NEW,ESTABLISHED
4    ACCEPT     tcp  --  anywhere             anywhere             multiport dports http,https,http-alt state NEW,ESTABLISHED
5    ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp state NEW,ESTABLISHED
6    ACCEPT     tcp  --  anywhere             anywhere             multiport dports smtp,2525,imap2,urd,submission,imaps,pop3s state NEW,RELATED,ESTABLISHED

Chain ftp_in_accept (3 references)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  anywhere             anywhere  

 



forward à drop c est correct ,
input me pose soucis à drop

ntp ne trouve pas le serveur internet , le https ne fonctionne pas sur un client , mais le http oui , le dns je sais pas hmm  , le ftp ne fonctionne pas , apt-get update ne trouve pas les fichiers en ftp et en http
enfin c est la misere

ps: il y a aussi steam pour les clients une regle a creer ..............

@++

Dernière modification par robert2a (07-05-2015 11:28:55)

Hors ligne

#22 07-05-2015 11:51:09

raleur
Membre
Inscription : 03-10-2014

Re : pare-feu ipv4 et ipv6 configuré

Il est recommandé d'accepter les paquets ICMP de type destination-unreachable, time-exceeded et parameter-problem dans l'état RELATED.

PS : avec une politique par défaut ACCEPT et seulement des règles ACCEPT, autant dire que ça ne sert à rien.

Hors ligne

#23 07-05-2015 12:33:05

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

non la seule chose a drop qui fonctionne c est forward , input je teste mais je perd tout mes services serveur.

si au moins une chose fonctionne pour me donner envie d allez plus loin

le serveur ntp n arrive pas a resoudre le serveur internet
le http selon les sites ne fonctionne pas
le ftp (ou http) avec apt-get update du serveur ou d un client ne fonctionne pas
la politique est sur accept parce que les regles ne fonctionne pas , je suis oblige de jonglé entre drop et accept pour tester et recharger ma table.
j aimerai savoir si quelqu un a ce wiki d installé sur une machine , l année derniere je l avais installé complet , c etait un désastre.
dns , ntp , dhcp sont tous sur eth1  mais le dns par exemple va chercher des infos sur le net , idem pour ntp il distribue l heure au client mais il se synchronise sur internet
si input est sur drop plus rien ne fonctionne (avec output et forward sur accept)
donc la methode n est pas bonne pour ma configuration de la passerelle.

Hors ligne

#24 07-05-2015 18:04:46

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Bon j ai mit en place un pare-feu sur un client en suivant le tuto:   http://debian-facile.org/viewtopic.php?id=9831

pour la passerelle c est pas gagné wink

Dernière modification par robert2a (07-05-2015 18:08:07)

Hors ligne

#25 07-05-2015 19:38:51

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

j'ai testé le pare-feu pour un client et fait des remarques ce serait bien d avoir un retour cool   (voir le wiki)
j aimerai bien un jour arriver a gerer ce foutu pare-feu convenablement  wink

heureusement j ai pas trop d application sur cette machine , il me reste exim4 et le client de messagerie a tester .

Hors ligne

Pied de page des forums