Vous n'êtes pas identifié(e).
Pages : 1
Lorsque je lance le script, je perds tous les accès au raspberry, et donc obligé de le reboot
Pourriez vous me donner un petit coup de main pour ces règles Iptables ?
Merci d'avance de votre aide
J'ai posté cette demande d'aide chez ubuntu, je n'aime pas trop les doublons, mais comme précisé par un modérateur, c'est mieux de demander ici
Edit à toto : J'ai édité ton message pour le rendre plus lisible en remplaçant le bbcode de la Citation : quote destiné aux textes par code (via Autrecode) qui est destiné à l'écriture des codes sur le forum. Je te laisse cliquer sur le lien Modifier au bas à droite de ce post pour voir comment le bb-code est utilisé.
Voir le tuto : Le code, ça pique moins les yeux en couleur
Dernière modification par madrippeur (17-03-2019 18:21:31)
Hors ligne
internet (port 80 443 et 53 si je ne m'abuse
[modéré]
Internet ne se limite pas à HTTP, HTTPS et DNS. Ça, c'est juste le web.
Avant d'écrire des règles iptables, il faut connaître les flux de paquets en jeu.
Note : inutile de surcharger les règles avec des options vides comme "-p all".
Dernière modification par raleur (16-03-2019 23:48:44)
Il vaut mieux montrer que raconter.
Hors ligne
As-tu seulement testé si ce script s'exécutait sans erreur ?
oui j'ai seulement essayé :
Lorsque je lance le script, je perds tous les accès au raspberry, et donc obligé de le reboot.
La moindre règle que je donne à ce iptable me déconnecte. :s
Pour info, SSH, HTTP et HTTPS utilisent uniquement TCP ; DNS utilise surtout UDP et rarement TCP.
Très bien j'ai appris et compris quelque chose.
[modéré]
Ok, tu vois donc pourquoi je demande un peu d'aide. Je penses que si j'avais compris comment ce la fonctionnait, je n'aurai pas fais ce genre d'erreur.
Avant d'écrire des règles iptables, il faut connaître les flux de paquets en jeu.
Tu dois bien te rendre compte tout de même que j'ai fais un minimum de recherches avant de demander de l'aide, et que j'ai fais avec les moyens du bord qui sont plutôt petits actuellement.
Le besoin que j'ai est seulement d'autoriser l'accès au web et pouvoir me connecter en ssh sur le raspberry par l'eth0 et le wlan0.
Edit à toto : La modération de minuit n'avait pas encore pris son poste, avec nos excuses.
Dernière modification par madrippeur (17-03-2019 00:24:23)
Hors ligne
oui j'ai seulement essayé
Visiblement tu ne l'as pas testé dans des conditions permettant de voir les éventuels messages d'erreur, sinon tu aurais vu que toutes les commandes contenant --dports échouaient. Cela signifie via une console physique (sur une autre machine si besoin) et non par SSH, car évidemment si tous les paquets sont bloqués (ce que font les trois premières commandes) la connexion SSH sera interrompue.
Le besoin que j'ai est seulement d'autoriser l'accès au web et pouvoir me connecter en ssh sur le raspberry par l'eth0 et le wlan0.
Le serveur DNS utilisé par les clients wifi est-il sur le point d'accès ou au delà ?
Le point d'accès fait-il office de serveur DHCP ?
Le point d'accès lui-même a-t-il besoin de faire des connexions sortantes, par exemple pour ses mises à jour ?
Il vaut mieux montrer que raconter.
Hors ligne
Visiblement tu ne l'as pas testé dans des conditions permettant de voir les éventuels messages d'erreur, sinon tu aurais vu que toutes les commandes contenant --dports échouaient. Cela signifie via une console physique (sur une autre machine si besoin) et non par SSH, car évidemment si tous les paquets sont bloqués (ce que font les trois premières commandes) la connexion SSH sera interrompue.
Effectivement je ne suis pas allé jusqu'au dport car les premiéres lignes me coupent l'accès.
J'ai cru comprendre qu'il fallait bloquer pour ensuite donner des règles d'exceptions pour autoriser. Seuls, les dport echouent.
Le serveur DNS utilisé par les clients wifi est-il sur le point d'accès ou au delà ?
le serveur dns sera celui de google, donc en dehors du réseau local
Le point d'accès fait-il office de serveur DHCP ?
Oui, il attribut actuellement sur du 192.168.4.0/24, le dhcp donne bien le dns google.
le réseau local est sur : 192.168.1.0/24
Le point d'accès lui-même a-t-il besoin de faire des connexions sortantes, par exemple pour ses mises à jour ?
Je pensais figer son état, donc pas de mise à jour, juste me garder un accès ssh pour une maintenance ponctuelle. Je me disait qu'au pire, je pouvais vider iptable, faire les mises à jours et le relancer quelques fois dans l'année.
Donc d’après ce que je comprends il faudrait ouvrir les ports utiles puis faire les drops ?
Hors ligne
il faudrait ouvrir les ports utiles puis faire les drops ?
Ça ne change pas grand-chose au résultat final. La politique par défaut est appliquée indépendamment des règles. Peu importe si la règle qui est censée autoriser plante en erreur avant ou après la définition de la politique qui bloque : au final la règle n'est pas créée et ça bloque.
Il faut tester l'exécution du script dans un contexte où on peut voir les éventuels messages d'erreur, donc avec une console physique, sur une autre machine si nécessaire.
Il vaut mieux montrer que raconter.
Hors ligne
Accès à un DNS des clients wifi vers extérieur : autoriser le port destination 53 UDP et TCP en FORWARD de wlan0 vers eth0.
Accès web des clients wifi vers l'extérieur : autoriser les ports destination 80 et 443 TCP en FORWARD de wlan0 vers eth0.
Accès SSH vers le point d'accès : autoriser le port destination 22 TCP en INPUT.
DHCP : autoriser le couple port source 68 et port destination 67 UDP en INPUT sur wlan0.
Autoriser le couple port source 67 et port destination 68 UDP en OUTPUT sur wlan0.
Cela nous donnerai :
Chaque ligne a été renseignée en physique sur la machine. Aucune erreur d’exécution en entrant ligne par ligne. Cependant, lorsque je me connecte sur le wifi, je n'ai pas de résolution dns.
Un ip config me donne un bon adressage sur le pc connecté au Wlan, j'ai bien accès au Ssh du raspberry, mais les pages internet me disent "erreur dns, page introuvable". Le Pc a été connecté au wlan après les modification de iptables.
Dernière modification par madrippeur (17-03-2019 11:31:52)
Hors ligne
iptables -P OUTPUT ACCEPT
Je croyais que tu ne voulais pas autoriser de trafic sortant.
-d eth0
Erreur. -d spécifie l'adresse destination, pas l'interface de sortie.
Et les règles pour autoriser les paquets ESTABLISHED dans le sens retour et les paquets RELATED, elles ont disparu ?
#DHCP : autoriser le couple port source 68 et port destination 67 UDP en INPUT sur wlan0.
iptables -t filter -A INPUT -i wlan0 -p udp --sport 67 -j ACCEPT
iptables -t filter -A INPUT -i wlan0 -p udp --sport 68 -j ACCEPT
Le couple, c'est les deux en même temps, pas l'un ou l'autre. Et le port destination ne se spécifie pas avec --sport.
Il vaut mieux montrer que raconter.
Hors ligne
Dernière modification par madrippeur (17-03-2019 11:32:26)
Hors ligne
J'obtiens le même résultat. Aucune erreur à l'insertion des lignes, mais pas de résolution DNS. Je fais des efforts, mais je ne comprends pas tout à priori.
me donne
Dernière modification par madrippeur (17-03-2019 13:17:03)
Hors ligne
Et pour afficher le jeu de règles en place, utilise la commande iptables-save plutôt qu'iptables -L.
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Pages : 1