Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 10-05-2015 18:12:57

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Personne a une idée sur l utilité d une regle pour le dhcp , la syncro de l heure (ntp ) et l acces a une imprimante (en reseau port rj45) cups sur le port 631 je suppose.

pour le dhcp j ai fait ceci :


iptables -A INPUT -i eth0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT


iptables -A OUTPUT -o eth0 -p udp --dport  67:68 --sport 67:68 -j ACCEPT
 



je sais pas si les 2 lignes input et output sont nécessaire , normalement c est le client qui solicite le serveur dhcp sur le port 67 ?

pour eviter ceci , je n ai rentré que la regle OUTPUT (avec --dport et --sport )  pour test neutral


dhclient: DHCPREQUEST on eth0 to 192.168.10.1 port 67
dhclient: send_packet: Operation not permitted
 



mon fichier iptables (c est mon deuxieme client client j essaie d ameliorer )


# Generated by iptables-save v1.4.21 on Sun May 10 18:31:41 2015
*filter
:INPUT DROP [6:456]
:FORWARD DROP [0:0]
:OUTPUT DROP [6:453]
-A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8080 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,8080 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,587,465,143,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
COMMIT
# Completed on Sun May 10 18:31:41 2015
 

Dernière modification par robert2a (10-05-2015 18:29:02)

Hors ligne

#27 10-05-2015 19:14:40

raleur
Membre
Inscription : 03-10-2014

Re : pare-feu ipv4 et ipv6 configuré

Concernant DHCP : il se trouve que certains logiciels clients et serveurs DHCP comme dhclient ou dhcpd communiquent directement avec l'interface réseau sans passer par la couche IP du noyau, donc en court-circuitant les règles iptables. Des règles pour accepter les paquets DHCP ne sont donc pas nécessaires avec ces logiciels.

dhclient doit être exécuté en tant que root.

La sortie d'iptables-save n'est pas un script qu'il faudrait exécuter en utilisateur standard ou en root.

RELATED n'est pas utile ici car aucun des ports listés n'est associé à cet état.

Il est superflu d'autoriser des ports source dans l'état ESTABLISHED ; autoriser les ports destination dans l'état NEW puis autoriser tous les ports dans l'état ESTABLISHED suffit.

Tes règles pour l'ICMP sont trop permissives.

Hors ligne

#28 10-05-2015 19:49:24

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

raleur a écrit :

Concernant DHCP : il se trouve que certains logiciels clients et serveurs DHCP comme dhclient ou dhcpd communiquent directement avec l'interface réseau sans passer par la couche IP du noyau, donc en court-circuitant les règles iptables. Des règles pour accepter les paquets DHCP ne sont donc pas nécessaires avec ces logiciels.
dhclient doit être exécuté en tant que root.



pour dhcp c'est bien ce que j'avais compris , pas de regle pour dhcp mais j'ai un message d erreur comme tu le voit au dessus .
pour dhclient c est les propriétés par defaut , je pense qu il est en root (j'ai fait 2 machines meme soucis
pour mes test je n ai plus que la ligne OUTPUT dans mon iptables et cela a l air correct . (supprimé INPUT )

raleur a écrit :


La sortie d'iptables-save n'est pas un script qu'il faudrait exécuter en utilisateur standard ou en root.


la je comprend pas ta phrase , ma table est chargé par le fichier /etc/network/interfaces  (j utilise gnome + networkmanager )
voici mon fichier


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

post-up iptables-restore < /etc/firewall-client
 



raleur a écrit :


RELATED n'est pas utile ici car aucun des ports listés n'est associé à cet état.


Il est superflu d'autoriser des ports source dans l'état ESTABLISHED ; autoriser les ports destination dans l'état NEW puis autoriser tous les ports dans l'état ESTABLISHED suffit.

Tes règles pour l'ICMP sont trop permissives.



pour ces 3 remarques , je n ai qu utilisé le tuto D_F  , je vai essayer de tenir compte de tes remarques tongue
quand a ICMP c est vraie tout passe actuellement.

ps: il me reste ntp sur le port 123 , je n ai pas de regle et pas d avertissement dans les logs , le serveur est une machine intermediaire (la passerelle ) , la premiere machine testé etait directement sur le modem-routeur .

Dernière modification par robert2a (10-05-2015 19:58:41)

Hors ligne

#29 10-05-2015 20:32:54

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Pour RELATED j'ai éffectué la modification , pour NEW,ESTABLISHED j ai mal compris.
ce que tu appelle ports sources , c est les regles OUTPUT (ou ports destinations ) en modifiant j ai perdu le net .

voici mon iptables actuel , il n y a que les RELATED qui ont été supprimés. d'apres mes docs , related par exemple est utile pour un ftp actif .
definition : les paquets  d une nouvelle connection liés a une connection existante



# Generated by iptables-save v1.4.21 on Sun May 10 18:31:41 2015
*filter
:INPUT DROP [6:456]
:FORWARD DROP [0:0]
:OUTPUT DROP [6:453]
-A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8080 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,8080 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,587,465,143,993,995 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
COMMIT
# Completed on Sun May 10 18:31:41 2015
 



pour le filtrage d ICMP c est assez complexe hmm  je me demande si de le faire sérieusement sur la passerelle ne suffirait pas tongue

Dernière modification par robert2a (10-05-2015 20:47:09)

Hors ligne

#30 10-05-2015 20:43:22

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : pare-feu ipv4 et ipv6 configuré

robert2a
Si ce n'est pas une commande, utilise le bouton  Autre code pour encadrer le texte.

J'y crois pas que je n'aurai pas un point choco df sur ce coup ! big_smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#31 10-05-2015 20:53:20

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

@smolki

avec le code user y a de jolis couleur tongue

bon pour moi le ntp fonctionne il trouve mon serveur local , reste a savoir si il peut récupérer l heure , la distribuer pas de soucis c est en 127.0.0.1 smile
je peus autoriser le port 123 mais si il ne sert a rien c est bete roll
je n est trouve qu une regle pour la distribution de l heure (coté serveur )

ps: je goutte aux joies du testing avec Stretch , au bout actuellement j ai :
xhci_hcd
can't setup: -110
init 0000:03:00.0 fail -110

et ceci juste apres le "patienter" et avant la "vérification" du disque systeme , donc je pense a grub2 .......

Dernière modification par robert2a (10-05-2015 20:57:48)

Hors ligne

#32 10-05-2015 21:02:49

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : pare-feu ipv4 et ipv6 configuré

picasso a écrit :

avec le code user y a de jolis couleur



Alors, avec le bouton Code et choisir dans la liste déroulante : bash par exemple :

# Generated by iptables-save v1.4.21 on Sun May 10 18:31:41 2015
*filter
:INPUT DROP [6:456]
:FORWARD DROP [0:0]
:OUTPUT DROP [6:453]
-A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8080 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,8080 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,587,465,143,993,995 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
COMMIT
# Completed on Sun May 10 18:31:41 2015


tongue toi-même ....

hi hi hi smile


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#33 11-05-2015 02:24:51

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

il vaut mieux picasso que pique-assiette , je te retourne le compliment tongue
hu hu hu lol

Hors ligne

#34 11-05-2015 05:54:28

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

@raleur

il y a pour icmp cette règle conseillée


iptables -A OUTPUT -o eth0 -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
 



RELATED (comme pour le ftp actif ) serait nécessaire pour icmp

je me pose la question si conntrack est activé par defaut , activer le module ip-conntrack , j ai cherche sur le net rien trouve a ce sujet.

Dernière modification par robert2a (11-05-2015 06:17:52)

Hors ligne

#35 11-05-2015 18:47:52

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

pour conntrack j'ai la réponse il s active seul


 kernel: [  359.295815] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
 

Hors ligne

#36 11-05-2015 22:43:03

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Bon je met iptables sur un serveur , regles supplementaires inetd , ssh , samba et cups

cups serveur est sur cette machine (un peu special , il recupere une imprimante (en rj45) d un autre reseau pour la distribuer sur ce sous-reseau , je sent l embrouille tongue
ssh client (le serveur est sur la passerelle )
samba serveur sur cette machine
serveur inetd sur la passerelle ( mais apt  utilise le port 9999 via inetd pour mise a jour de debian sur cette machine , le serveur de cache est sur la passerelle )

ipv6 est désactivé
j'ai appliqué ceci pour mise a jour par apt (approx et inetd )  hmm


iptables -t filter -A OUTPUT -p tcp -m tcp --dport 9999 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --sport 9999 -m state --state RELATED,ESTABLISHED -j ACCEPT
 



le serveur est le logiciel " approx " qui par l intermediaire du super-server inetd sur le port 9999 distribue les mises a jour.
quand inetd voit une demande sur le port 9999 il lance le demon approx.

ça fonctionne mais je sais pas si la regle est correcte neutral

pour ssh client j'ai pris cette regle , au lieu de 192.168.10.0/24 je pourrai mettre l ip fixe du serveur ssh


iptables -t filter -A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.10.0/24 -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
 

Dernière modification par robert2a (11-05-2015 23:26:40)

Hors ligne

#37 12-05-2015 08:40:00

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

Bonjour

pour cups j'ai essayé ceci :


iptables -t filter -A OUTPUT -p tcp -m multiport --dports 515,631 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --sports 515,631 -m conntrack --ctstate ESTABLISHED -j ACCEPT
 



j'arrive a pinguer l imprimante et a la joindre par http (gestion) , le port 515 m'est donné par cups et le protocole lpd


# Printer configuration file for CUPS v1.7.5
# Written by cupsd
# DO NOT EDIT THIS FILE WHEN CUPSD IS RUNNING
<DefaultPrinter Stylus-Office-B40W>

Info EPSON Stylus Office B40W
DeviceURI lpd://192.168.1.102:515/PASSTHRU
State Idle
StateTime 1424601861
Type 8425484
Accepting Yes
Shared Yes
 



j imprime du serveur , il me reste a tester d un client (apres avoir mit la bonne regle smile  )

Dernière modification par robert2a (12-05-2015 11:41:46)

Hors ligne

#38 12-05-2015 09:42:15

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

pour samba , je l ai désinstallé tongue  lol

ouvrir 137 , 138 , 139 et 445 trop compliqué ...........

il me reste a autoriser le port 631 sur tous les clients pour qu ils puissent imprimer aussi
et l accès au cache d apt  port 9999 pour les mise a jour

et je pense que c est terminé ( mise a part vos observations pour améliorer les règles  wink )

et ensuite la passerelle hmm

Dernière modification par robert2a (12-05-2015 12:00:36)

Hors ligne

#39 12-05-2015 11:55:18

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : pare-feu ipv4 et ipv6 configuré

voila ce que donne (pour le serveur derrière la passerelle ) l iptables



# Generated by iptables-save v1.4.21 on Tue May 12 11:44:50 2015
*filter
:INPUT DROP [17:2964]
:FORWARD DROP [0:0]
:OUTPUT DROP [11:825]
-A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8080 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 9999 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.10.0/24 -i eth0 -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 515,631 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,8080 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,587,465,143,993,995 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 9999 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 515,631 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue May 12 11:44:50 2015

 



j'ai mit les jolies couleur  /fin mode picasso

wink

ps:pour steam j'ai rajouté une regle udp et tcp



iptables -A OUTPUT -o eth0 -p udp -m udp --dport 27000:27050 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m tcp --dport 27000:27050 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 27000:27050 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --sport 27000:27050 -j ACCEPT
 



pas trés joli comme regle mais le jeux fonctionne smile

pour la passerelle j abandonne , trop compliqué pour moi et le tuto chez moi ne fonctionne pas
tous mes clients sont derriere un pare-feu  un peu mieux smile

Dernière modification par robert2a (12-05-2015 21:54:56)

Hors ligne

Pied de page des forums