logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-11-2017 16:52:39

antoinedr38
Membre
Inscription : 29-11-2017

Problemes iptables - erreur de script

Bonjour,
Je travail aujourd'hui sur un serveur de test afin de déployer un FTP qui ce situera dans une DMZ (port 1085 passif 64000 - 65000)
ainsi qu'un serveur web (interne a l'entreprise)
Mais lorsque j’exécute mon script iptables (je ne suis pas encore très a l'aise avec) je n'arrive plus a me connecter en SSH / HTTP, pourtant mes regles ont l'air bonne.
Je précise que je suis déjà allez sur internet pour me familiariser avec iptables, cependant je n'ai trouver aucun cours suffisamment complet pour répondre a mes questions tordue. tongue

Mon interface eth0 ce situe dans ma DMZ et mon interface eth3 dans mon LAN.

voila mon script big_smile


#Supprime les ancienne regles
iptables -F
iptables -X

#Policy ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#INPUT
#Input ICMP OK
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Input FTP OK
iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 1085 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 64000:65000 -j ACCEPT

#Input SSH OK
iptables -A INPUT -i eth3 -p tcp -m state --state NEW,ESTABLISHED --dport 63999 -j ACCEPT

#Input HTTP/S et APT OK
iptables -A INPUT -i eth3 -p tcp -m state --state NEW,ESTABLISHED --dport 80 -j ACCEPT
iptables -A INPUT -i eth3 -p tcp -m state --state NEW,ESTABLISHED --dport 443 -j ACCEPT

#Input DNS OK
iptables -A INPUT -i eth3 -p tcp -m state --state ESTABLISHED --dport 53 -j ACCEPT
iptables -A INPUT -i eth3 -p udp -m state --state ESTABLISHED --dport 53 -j ACCEPT

#Input SNTP OK
iptables -A INPUT -i eth3 -p udp -m state --state ESTABLISHED --dport 123 -j ACCEPT

#Input Loopback OK
iptables -A INPUT -i lo -j ACCEPT

#OUTPUT
#Output ICMP OK
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT

#Output FTP OK
iptables -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 1085 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 64000:65000 -j ACCEPT

#Output SSH OK
iptables -A OUTPUT -o eth3 -p tcp -m state --state ESTABLISHED --sport 63999 -j ACCEPT

#Output HTTP/S et APT OK
iptables -A OUTPUT -o eth3 -p tcp -m state --state ESTABLISHED --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth3 -p tcp -m state --state ESTABLISHED --sport 443 -j ACCEPT

#Output DNS OK
iptables -A OUTPUT -o eth3 -p tcp -m state --state NEW,ESTABLISHED --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth3 -p udp -m state --state NEW,ESTABLISHED --sport 53 -j ACCEPT

#Output SNTP OK
iptables -A OUTPUT -o eth3 -p udp -m state --state NEW,ESTABLISHED --sport 123 -j ACCEPT

#Output Loopback OK
iptables -A OUTPUT -o lo -j ACCEPT

#Reject tout le reste
iptables -A INPUT -j REJECT
iptables -A OUTPUT -j REJECT
iptables -A FORWARD -j REJECT

Dernière modification par antoinedr38 (29-11-2017 16:55:17)

Hors ligne

#2 30-11-2017 14:15:10

raleur
Membre
Inscription : 03-10-2014

Re : Problemes iptables - erreur de script

antoinedr38 a écrit :

je n'arrive plus a me connecter en SSH / HTTP


C'est-à-dire ? Comment testes-tu, et que se passe-t-il exactement ?

Tu es sûr du nom des interfaces ?

Les règles pour DNS sont erronées. L'état NEW devrait être avec --dport, pas --sport.
Et elles ne permettent pas de requêtes sortantes. Normal ?


Il vaut mieux montrer que raconter.

Hors ligne

#3 30-11-2017 14:28:49

antoinedr38
Membre
Inscription : 29-11-2017

Re : Problemes iptables - erreur de script

bonjour, merci de la réponse ! smile

Je teste simplement, j’exécute mon script et ma connexion SSH se coupe, j'ai beau relancer ma connexion rien n'y fais, je suis obliger de me connecter en directe tty, sinon j'essaie d'accédez a mon interface HTTPS et, idem connexion refusée etc....scratchhead.gif

Je suis sur du nom de mes interfaces oui. Mon eth3 est dans mon LAN et mon eth0 est dans ma DMZ.

Les paquets qui reviennent sont bien established (input) et mon output est bien new. Ce serveur ne fais que FTP et HTTPS. scratchhead.gif

Dernière modification par antoinedr38 (30-11-2017 14:29:46)

Hors ligne

#4 30-11-2017 14:41:26

raleur
Membre
Inscription : 03-10-2014

Re : Problemes iptables - erreur de script

Alors à quoi les règles DNS, HTTP et SNTP sont-elles censées servir ?

La communication entre ton poste client et le serveur passe bien par eth3 dans les deux sens ?

Il vaut mieux montrer que raconter.

Hors ligne

#5 30-11-2017 14:43:27

raleur
Membre
Inscription : 03-10-2014

Re : Problemes iptables - erreur de script

Tu peux ajouter des règles LOG juste avant les règles REJECT pour voir dans les logs du noyau les paquets qui n'ont pas été acceptés.

Il vaut mieux montrer que raconter.

Hors ligne

#6 30-11-2017 14:59:48

antoinedr38
Membre
Inscription : 29-11-2017

Re : Problemes iptables - erreur de script

Les règles DNS et HTTP pour les mises a jours de mon systeme tout simplement ainsi que pour le controle a distance (interface web graphique), SNTP pour l'heure.

Mon poste client ce trouve bien dans le LAN (eth3), ou il y a mon serveur DNS, etc... Ce même réseau ou j'ai besoin de mon interface HTTPS.

Dans la DMZ je souhaite uniquement avoir accès a mon serveur FTP qui servira de serveur de sauvegarde pour les postes nomades et autres sites.

Je vais ajouter les rêgles LOG quand j'aurais un moment, j'aurais du y songer plus tôt ! smile

Hors ligne

#7 30-11-2017 15:09:57

raleur
Membre
Inscription : 03-10-2014

Re : Problemes iptables - erreur de script

antoinedr38 a écrit :

Les règles DNS et HTTP pour les mises a jours de mon systeme tout simplement), SNTP pour l'heure.


Donc ce sont des connexions sortantes, alors que tes règles autorisent les connexions HTTP entrantes ou sont incohérentes (DNS, NTP) et n'autorisent ni les connexions entrantes ni sortantes.

Dernière modification par raleur (30-11-2017 15:10:48)


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums