Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-10-2014 19:26:27

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

[wiki]iptables:un pare-feu pour un client

Pour le retour iptables: un pare-feu pour un client

Merci pour cet espace libre smile

Dernière modification par smolski (07-05-2015 07:43:18)

Hors ligne

#2 10-10-2014 16:26:38

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : [wiki]iptables:un pare-feu pour un client

Trés beau tuto, trés complet, merci beaucoup. smile

Hors ligne

#3 14-10-2014 23:42:00

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [wiki]iptables:un pare-feu pour un client

Super aussi, je confirme, c'est d'la bonne, mangez-en ! smile

Une petite remarque Hypathie, pour lancer et éteindre le pare-feu respectivement au boot et à l'arrêt, tu utilises les scripts d'init. Avec l'arrivée de systemd, tu peux également faire ça via des fichiers de service.

Genre

[Unit]
Description=Firewall et NAT
After=network.target

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/bin/sh -c "/sbin/iptables-restore < /etc/iptables"

[Install]
WantedBy=multi-user.target
 



Ok pour le placer donc.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#4 15-10-2014 16:15:30

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables:un pare-feu pour un client

Coucou captnfab,

pour faire un fichier de service avec systemd, le fichier que tu indiques doit-il être créé dans /etc/systemd/system/ ?

Parce que j'ai essayé mais impossible de charger !

J'ai créé deux fichiers de sauvegarde avec la commande update-rc.d ;

-/etc/iptables-gateway
-/etc/iptables-gateway-flush

puis j'ai créé un fichier /etc/systemd/system/iptables.service contenant :

[Unit]
Description=Firewall et NAT
After=network.target

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/bin/sh -c "/sbin/iptables-restore < /etc/iptables-gateway"
ExecReload=/bin/sh -c "/sbin/iptables-restore < /etc/iptables-gateway"
ExecStop=/bin/sh -c "/sbin/iptables-restore < /etc/iptables-gateway-flush"

[Install]
WantedBy=multi-user.target



Mais quand je veux charger :

systemctl enable iptables.service



Failed to get D-Bus connection: Failed to connect to socket /run/systemd/private: No such file or directory

Hors ligne

#5 15-10-2014 16:22:54

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [wiki]iptables:un pare-feu pour un client

Est-ce que tu utilises systemd comme système d'init ? smile

ls -lh /sbin/init


lrwxrwxrwx 1 root root 20 sept. 28 21:33 /sbin/init -> /lib/systemd/systemd


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 15-10-2014 16:55:39

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables:un pare-feu pour un client

Je ne crois pas, je ne sais plus trop si c'est moi qui l'ai installé big_smile

En tout cas :

dpkg --get-selections | grep systemd



libpam-systemd:amd64        install
libsystemd-daemon0:amd64      install
libsystemd-id128-0:amd64      install
libsystemd-journal0:amd64     install
libsystemd-login0:amd64       install
systemd           install



En fait, on dirait que non :

ls -lh /sbin/init



-rwxr-xr-x 1 root root 37K juil. 14  2013 /sbin/init



Moi je n'ai pas de lien symbolique sad

Dernière modification par Hypathie (15-10-2014 17:05:57)

Hors ligne

#7 15-10-2014 17:12:36

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [wiki]iptables:un pare-feu pour un client

Donc, systemd est installé, mais pas utilisé. Au contraire, tu utilises le système d'init par défaut de Wheezy, sysvinit Du coup, tu ne peux pas lancer des fichiers services systemd.
Jessie utilisera systemd.
Là, si tu veux tester ce que donne ton système booté via systemd, il te suffit de modifier la ligne de boot dans le grub (celle qui commence par « linux /boot/vmlinuz-… » en rajoutant « init=/lib/systemd/systemd »

Tu peux le faire au boot plutôt que dans le /e/d/grub, comme ça les changements ne seront pas permanents en cas de pépin.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 15-10-2014 17:21:18

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : [wiki]iptables:un pare-feu pour un client

merci smile

Hors ligne

#9 07-01-2015 19:02:16

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : [wiki]iptables:un pare-feu pour un client

captnfab a écrit :

Super aussi, je confirme, c'est d'la bonne, mangez-en ! smile



C'est placé smile

https://debian-facile.org/doc:reseau:ip … -un-client


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#10 07-05-2015 16:25:27

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

Bonjour

je remonte ce post pour signaler les problemes


Afficher la liste des regles de "Filter"

iptables -t filter --list


lrésultat de la commande


Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 


Afficher la liste des regles de INPUT , cette commande tel que sur le tuto ne fonctionne pas

iptables -L --line-numbers Chain INPUT


resultat


Bad argument `Chain'
Try `iptables -h' or 'iptables --help' for more information.
 


voici le premier  smile

ce qui fonctionne

COMMANDE A EFFECTUER selon tuto
pour la signification de ces commandes voir tuto ou faire un peu de lecture debianesque


 iptables -F
 iptables -X
 iptables -P INPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -P OUTPUT ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP
 


donne la liste complete des regles avec un numero de ligne


 iptables -L -n --line-numbers


resultat de la commande ci-dessus


Chain INPUT (policy DROP)
num  target     prot opt source               destination        

Chain FORWARD (policy DROP)
num  target     prot opt source               destination        

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
 




commande pour créer les differentes regles dans iptables


iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

 iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
 iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 iptables -t filter -A OUTPUT -o lo -j ACCEPT
 iptables -t filter -A INPUT -i lo -j ACCEPT

 iptables -A INPUT -i eth0 -p icmp -j ACCEPT
 iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 


Editer le contenu de "Filter"


 iptables -t filter -L -n -v
 


Resultat de la commande


Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     icmp --  *      eth0    0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
 



commande edition avec numero de ligne


 iptables -L -n --line-numbers
 


resultat de la commande


Chain INPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
num  target     prot opt source               destination        

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
 


ping local puis de la passerelle puis d un nom de domaine externe


 ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.081 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.055 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.053 ms

--- localhost ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.053/0.063/0.081/0.012 ms

 ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=2.21 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.872 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.808 ms
--- 192.168.1.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.808/1.297/2.213/0.649 ms

 ping google.fr
PING google.fr (173.194.67.94) 56(84) bytes of data.
64 bytes from wi-in-f94.1e100.net (173.194.67.94): icmp_seq=1 ttl=47 time=41.7 ms
64 bytes from wi-in-f94.1e100.net (173.194.67.94): icmp_seq=2 ttl=47 time=42.0 ms
64 bytes from wi-in-f94.1e100.net (173.194.67.94): icmp_seq=3 ttl=47 time=41.4 ms
--- google.fr ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 41.477/41.767/42.080/0.341 ms
 





nano /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

post-up iptables-restore < /etc/firewall-client

auto eth0
iface eth0 inet dhcp

 



reprise des explications du tuto:


Avantages de cette méthode
 La possibilité de créer des règles personnalisées pour chaque interface.
Si les règles sont indépendantes des interfaces, on place la commande iptables-restore en pre-up de la boucle locale.
On peut créer plusieurs fichiers à restaurer, un pour chaque interface par exemple, ou un fichier particulier pour un service particulier (un pour masquerade et squid, un autre pour un pare-feu)…
Ainsi par exemple le jour où on ajoutera une carte wifi sur son vieil ordi fixe, on se teste quelques nouvelles règles iptables, puis quand elles sont tip-top, on les sauvegarde en créant un iptables-save > /etc/iptables-wifi.
On ne restera plus qu'à ajouter pre-up iptables-restore < /etc/iptables-wifi avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà…
    Une grande facilité de modification des règles du pare-feu :
 


Mon explication:
voila j'ai executé le tuto , les regles principales uniquement , dns ,ping et web regles sur "drop" et je poste de cette machine

je reboot
@++  enfin je l espere wink



Super ce retour robert2a ! smile
Mais il est très confus et on ne distingue pas clairement ce que sont les commandes de ce que sont les résultats de ces commandes ou de ce que sont des indications du contenu des fichiers.

Pour indication :
Les commandes sont isolées avec la balise code=root (ou code=user) et leurs résultats le sont avec la balise simple codebig_smile

Dernière modification par robert2a (08-05-2015 19:45:03)

Hors ligne

#11 07-05-2015 16:58:40

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

je vai vous montrer les regles actuelles apres reboot smile
Commande


 iptables -t filter --list
 


Resultat


Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             multiport sports http,https,8000 ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain ctstate NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             multiport dports http,https,8000 ctstate NEW,RELATED,ESTABLISHED
 


premiere remarque , plutot que le port 8000 , j utilise le port 8080 avec certaines applications (pourquoi 8000 ?  )

il me reste ntp , je regarde si il est installé tongue
la mise a l heure est importante , ntp ou autre il faut pouvoir la faire

Dernière modification par robert2a (08-05-2015 14:54:26)

Hors ligne

#12 07-05-2015 17:22:47

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

pas de ntp installé

ajout des regles IMAP et SMTP et sauvegarde
et une imprimante partagé
Commande a faire


 iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 iptables -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -s 192.168.1.22 -d 192.168.1.0/24 -p tcp --sport 631 -m state ! --state INVALID -j ACCEPT
 


Sauvegarder les modifications


 iptables-save > /etc/firewall-client
 iptables-restore < /etc/firewall-client
 



voila le pare-feu client est installé (pas de mise en place de ssh sur cet machine donc ignorée )
pour l imprimante partagé (pour moi réseau ) la regle n est pas claire , je comprend imprimante machine 192.168.1.22 partagé sur reseau 192.168.1.0/24
cette machine est en dhcp en plus ........
pour moi ce serait acces a une imprimante réseau adresse 192.168.1.102 (regle a revoir pour mon utilisation)  wink

un volontaire pour une regle NTP , sur un client il distribue l heure sur 127.0.0.1 et recupere l heure sur un serveur de temps du reseau local ou sur internet ?
sous la forme ntp.debian.org  et utilise le port 123

j'ai testé 80% du tuto , peut etre demander à raleur son avis sur les regles
@++

Dernière modification par robert2a (08-05-2015 14:56:05)

Hors ligne

#13 07-05-2015 17:50:08

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

test des commandes de suppression de lignes smile
Commande edition des regles de INPUT


iptables -L INPUT -n --line-numbers
 


Resultat de la commande


Chain INPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport sports 25,2525,587,465,143,993,995 state RELATED,ESTABLISHED
6    ACCEPT     tcp  --  192.168.0.0/24       192.168.0.22         tcp dpt:631 state NEW,RELATED,ESTABLISHED
 


Commande suppression ligne 6 de INPUT


 iptables -D INPUT 6
 iptables -L INPUT -n --line-numbers
 


Resultat de la commande


Chain INPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport sports 25,2525,587,465,143,993,995 state RELATED,ESTABLISHED
 


commande edition des regles OUTPUT


 iptables -L OUTPUT -n --line-numbers
 


resultat


Chain OUTPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 25,2525,143,465,587,993,995 state NEW,RELATED,ESTABLISHED
6    ACCEPT     tcp  --  192.168.0.22         192.168.0.0/24       tcp spt:631 ! state INVALID
 


Commandes suppression ligne 6 de OUTPUT


 iptables -D OUTPUT 6
 iptables-save > /etc/firewall-client
 iptables-restore < /etc/firewall-client
 iptables -L OUTPUT -n --line-numbers
 


Resultat


Chain OUTPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 25,2525,143,465,587,993,995 state NEW,RELATED,ESTABLISHED

 



la ligne 6 , imprimante partagée supprimée puisque ne correspond pas a ma config .

quand je vois la ligne 2 je me dit que le reste ne sert a rien lol
2 => accept =>  tout => source tout =>  destination tout    lol
la ligne 2 correspondrai a l interface "lo" (boucle locale on autorise tout )

Dernière modification par robert2a (08-05-2015 15:07:39)

Hors ligne

#14 07-05-2015 18:23:53

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

petite modification sur icmp , selon le tuto voici le iptables definitif


# Generated by iptables-save v1.4.21 on Thu May  7 18:21:40 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:328]
-A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu May  7 18:21:40 2015
 



le ping de la passerelle internet  fonctionne depuis le client

Dernière modification par robert2a (07-05-2015 18:25:37)

Hors ligne

#15 07-05-2015 18:40:09

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

re, roll

il manque une regle pour le dhcp dans le tuto


May  7 18:38:44 debian40 dhclient: DHCPREQUEST on eth0 to 192.168.1.1 port 67
May  7 18:38:44 debian40 dhclient: send_packet: Operation not permitted

 


remarque pour le dhcp serveur sur le wiki de la passerelle (mais pour le client dhcp ? )


Le cas du serveur DHCP
Aurions-nous oublié une règle pour DHCP ?

Rassurez-vous, il est inutile d'ouvrir les ports UDP (67, 68) pour que le serveur DHCP installé sur cette passerelle puisse continué d'attribuer des IP à notre réseau B.

    “Ne pas ajouter de règle aveuglément !”

Voici une autre maxime à laquelle il faudra se tenir.

On voit dans de nombreux wiki l'ajout aberrant de cette règle :
IPTABLES -I INPUT -i <interface-interne> -p udp –dport 67:68 –sport 67:68 -j ACCEPT

Nous ne l'ajouterons pas !

 

Dernière modification par robert2a (07-05-2015 20:21:15)

Hors ligne

#16 07-05-2015 19:01:10

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

ma configuration client


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

post-up iptables-restore < /etc/firewall-client

auto eth0
iface eth0 inet dhcp
 



 iptables -I INPUT -i eth0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
 iptables -I OUTPUT -o eth0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
 



pour l instant pas de soucis de ntp et de dhcp , par contre un soucis avec une application qui doit récuperer un fichier port 80 ou 8080 .
rectification l application a réussi a recuperer le fichier
cette machine est en debian stretch , il faudra peut etre que je reinstalle l application j ai des erreurs dans les logs
log de ntp et dhcp (pour ntp pas de regle je me demande comment il trouve le serveur de temps internet port 123  )


 ntpd[526]: ntpd 4.2.6p5@1.2349-o Fri Apr 10 19:04:04 UTC 2015 (1)
 ntp[476]: Starting NTP server: ntpd.
 ntpd[551]: proto: precision = 0.171 usec
 ntpd[551]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123
 ntpd[551]: Listen and drop on 1 v6wildcard :: UDP 123
 ntpd[551]: Listen normally on 2 lo 127.0.0.1 UDP 123
 ntpd[551]: Listen normally on 3 eth0 192.168.1.103 UDP 123
 ntpd[551]: peers refreshed
 ntpd[551]: Listening on routing socket on fd #20 for interface updates

 dhclient: Copyright 2004-2014 Internet Systems Consortium.
 dhclient: All rights reserved.
 dhclient: For info, please visit https://www.isc.org/software/dhcp/
 dhclient:
 networking[219]: Configuring network interfaces...Internet Systems Consortium DHCP Client 4.3.1
 networking[219]: Copyright 2004-2014 Internet Systems Consortium.
 networking[219]: All rights reserved.
 networking[219]: For info, please visit https://www.isc.org/software/dhcp/
 dhclient: Listening on LPF/eth0/00:15:f2:70:73:c4
 dhclient: Sending on   LPF/eth0/00:15:f2:70:73:c4
 dhclient: Sending on   Socket/fallback
 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6
 networking[219]: Listening on LPF/eth0/00:15:f2:70:73:c4
 networking[219]: Sending on   LPF/eth0/00:15:f2:70:73:c4
 networking[219]: Sending on   Socket/fallback
 networking[219]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6
 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
 networking[219]: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
 dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
 dhclient: DHCPOFFER from 192.168.1.1
 networking[219]: DHCPREQUEST on eth0 to 255.255.255.255 port 67
 networking[219]: DHCPOFFER from 192.168.1.1
 dhclient: DHCPACK from 192.168.1.1
 networking[219]: DHCPACK from 192.168.1.1
 dhclient: bound to 192.168.1.103 -- renewal in 3199 seconds.
 networking[219]: bound to 192.168.1.103 -- renewal in 3199 seconds.
 networking[219]: done.
 

Dernière modification par robert2a (08-05-2015 15:17:04)

Hors ligne

#17 07-05-2015 19:50:19

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables:un pare-feu pour un client

@robert2a
Ton boulot en profondeur sur ce tuto est chouette !


Tes posts de retour sont eux un peu moins bien présenté, ça fait cafouillis et je doute qu'un débutant puisse retrouver ses petits là-dedans.
En éclaircissant ta présentation via les balises code type df, ce serait mieux pour tout le monde.
genre, mettre les seuls commandes dans les balises commandes root ou user et leurs résultats dans des balises code simplettes.


Ensuite, ne pas recopier le début concernant la nomination de ta machine avant le dièse :

root@debian40:/etc#


Déjà que c'est inutile puisque root ou user est dans l'titre  balisé, mais aussi que les dièses enlève la coloration de ce qui suit.


En fait, sur ce site qui est destiné à se faire cotoyer débutant et plus avertis, ce sont les débutants qui doivent recevoir les premiers les services des seconds.
Aussi, en respectant la charte du tuto des couleurs, les plus aguerris marquent leurs respects envers tous les visiteurs du site, et pas seulement entre eux seuls.


Voili voilou, j'aime pas qu'on m'fasse la morale, j'espère que tu ne t'offusquera pas de cette intervention.


Amicalement, Jojo la fleur au fusil smile


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#18 07-05-2015 20:03:21

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

pffffffff  encore du boulot hmm

pour la morale j encaisse tongue , mais je fais pas des remarques pour les débutants , c est moi le débutant qui a fait un point sur mes problemes rencontrés et d eventuelles erreurs ou oublies du tuto .

je vai reprendre mes posts avec les bons codes , peut etre pas ce soir wink

Hors ligne

#19 07-05-2015 20:29:56

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables:un pare-feu pour un client

robert2a a écrit :

c est moi le débutant


Ben toi oui, moi aussi et les visiteurs de tes posts et des solutions proposées le sont aussi à priori.


L'idée de ce site d'entraide n'est pas seulement de réparer les trucs ou d'informer, mais de partager entre tous, depuis les plus débutants aux plus aguerris, le contenu des posts pour que chacun en fasse son propre fruit.
Si les posts sont écrits juste pour que quelques-uns les lisent, ça va aussi, c'est ce que font la plupart des sites d'entraide qui privilégient cette solution de l'immédiateté.
La création et le développement de df se base différemment, tous et chacun sont aussi importants, et, pour marquer cette importance commune, le respect des balises codes et quelques-autres tracasseries, comme se présenter, remplir son info distri, etc... Tout cela se doit d'être aussi partagés également entre tous.


smile


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#20 07-05-2015 21:20:43

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [wiki]iptables:un pare-feu pour un client

@Jojo: je bois littéralement ces paroles de sagesse.  cool

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#21 07-05-2015 21:23:48

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables:un pare-feu pour un client

Hips ! cool

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#22 08-05-2015 01:33:27

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

smolski a écrit :

robert2a a écrit :

c est moi le débutant


Ben toi oui, moi aussi et les visiteurs de tes posts et des solutions proposées le sont aussi à priori.


L'idée de ce site d'entraide n'est pas seulement de réparer les trucs ou d'informer, mais de partager entre tous, depuis les plus débutants aux plus aguerris, le contenu des posts pour que chacun en fasse son propre fruit.
Si les posts sont écrits juste pour que quelques-uns les lisent, ça va aussi, c'est ce que font la plupart des sites d'entraide qui privilégient cette solution de l'immédiateté.
La création et le développement de df se base différemment, tous et chacun sont aussi importants, et, pour marquer cette importance commune, le respect des balises codes et quelques-autres tracasseries, comme se présenter, remplir son info distri, etc... Tout cela se doit d'être aussi partagés également entre tous.


smile



quand on fait la morale faut etre irréprochable wink
ok ok , on commence par quoi

partager le choco ? lol

ok je sort  tongue

ps: c est correct mes posts ou faut encore "tritouiller"

Hors ligne

#23 08-05-2015 05:16:07

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables:un pare-feu pour un client

robert2a a écrit :

c est correct mes posts ou faut encore "tritouiller"



Je t'ai tatouillé le début du premier des post ici :
http://debian-facile.org/viewtopic.php? … 08#p119008

Tu peux t'en inspirer pour corriger les suivants en séparant la balise code=root (qui est pour une commande seule) de la balise code qui est pour le résultat des commandes ou les indications du contenu des fichiers.
L'exemple tip top à suivre est dans le wiki ici :

Voir le tuto : Le code, ça pique moins les yeux en couleur

Euh... ai-je obtenu un nouveau point choco... là ? big_smile


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#24 08-05-2015 09:01:12

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [wiki]iptables:un pare-feu pour un client

smolski a écrit :

Euh... ai-je obtenu un nouveau point choco... là ? big_smile

Ouaip, je t'en offre un tiré de la réserve spéciale DF  wink


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#25 08-05-2015 09:39:20

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [wiki]iptables:un pare-feu pour un client

tongue

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums