logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-12-2017 18:27:41

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

[Résolu] Torbrowser et iptables

Bonjour,
J'ai un problème pour me connecter via le Torbrowser suite à la configuration d'iptables.

Je précise que je débute, et du coup j'ai un peu/beaucoup de mal avec entre autres Iptables..
J'ai suivi la config iptables de kawer ici : https://debian-facile.org/viewtopic.php … 79#p127279

Ce que je pige pas c'est que je sors d'une config avec ufw qui était la même, et la connexion avec Torbrowser se faisait :

L'ancienne config ufw (et la nouvelle iptables) :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT



et du coup la connexion ne se fait pas alors que les connexions sortantes doivent se faire, si vous avez une solution / explication je suis preneur..

Merci d'avance !

Dernière modification par Stephdeb (08-12-2017 10:02:48)

Hors ligne

#2 07-12-2017 20:34:41

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Torbrowser et iptables

C'est tout ?
Il y avait d'autres commandes pour créer des règles dans le script de kawer (qui n'est franchement pas terrible au passage - le script, pas kawer).
Ces trois commandes ne créent aucune règle mais définissent les politiques par défaut des trois chaînes de filtrage qui traitent les paquets selon le chemin qu'ils suivent (entrée, traversée ou sortie). Sans règles, ce sont ces politiques qui s'appliquent à tous les paquets: les paquets sortants sont acceptés mais les paquets entrants sont bloqués. Aucune communication, qui implique d'envoyer et recevoir, n'est donc possible. Cela ne se limite pas aux communications de Torbrowser.

Ça m'étonnerait beaucoup que ce soit l'ancienne configuration ufw car il y a une différence fondamentale entre iptables et ufw, qui est une surcouche d'iptables : les règles d'iptables traitent des paquets IP individuels, alors que les règles d'ufw traitent des "connexions", qui sont des flux de paquets bidirectionnels.

Il vaut mieux montrer que raconter.

Hors ligne

#3 07-12-2017 21:47:02

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

Bonsoir Raleur, et merci pour ta réponse smile

raleur a écrit :

C'est tout ?



Le contenu au complet :

#!/bin/bash
 

### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start and Stop
# Description:
### END INIT INFO

echo Setting firewall rules...

###### Debut Initialisation ######

# Interdire toute connexion entrante - sauf sortante, sauf établie
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



Pour ufw la commande :

ufw status verbose



me renvoyais ça :

Status: active
Logging: on (full)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

Hors ligne

#4 07-12-2017 21:59:06

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Torbrowser et iptables

Tu peux constater qu'ufw prend soin d'employer des termes distincts de ceux d'iptables pour éviter la confusion :
deny != DROP
allow != ACCEPT
incoming != INPUT
outgoing != OUTPUT
routed != FORWARD

En effet les termes d'ufw s'appliquent aux connexions entières, alors que ceux d'iptables s'appliquent au paquets individuels.

Si j'ai bien compris le principe de TOR, le navigateur utilise un proxy local qui route les requêtes vers des "routeurs" (relais) du réseau TOR. Pour pouvoir communiquer avec un service local quelconque tournant sur la même machine, il faut que les règles de filtrage acceptent les paquets sur l'interface de loopback. Ce n'est pas le cas de tes règles (c'est une des raisons pour lesquelles j'ai écrit que le script était médiocre). Il manque la règle suivante :

iptables -A INPUT -i lo -j ACCEPT


Au passage tu peux supprimer la dernière règle OUTPUT, elle ne sert à rien puisque la politique par défaut d'OUTPUT est déjà ACCEPT.

Dernière modification par raleur (07-12-2017 22:00:58)


Il vaut mieux montrer que raconter.

Hors ligne

#5 07-12-2017 22:53:22

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

J'ai du mal à comprendre la différence entre le filtrage de paquet et le filtrage de connexion..

Pour qu'il y est une connexion il y a des paquets, non ?

J'ai ajouté la règle

iptables -A INPUT -i lo -j ACCEPT



dans

nano /etc/init.d/firewall



relancer


service firewall stop
chmod +x /etc/init.d/firewall
update-rc.d firewall defaults
service firewall start



La connexion ne se fait toujours pas.

Hors ligne

#6 07-12-2017 23:08:32

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Torbrowser et iptables

Quel est l'état d'iptables affiché par la commande iptables-save ?

Il vaut mieux montrer que raconter.

Hors ligne

#7 07-12-2017 23:15:58

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

iptables-save


# Generated by iptables-save v1.6.0 on Thu Dec  7 23:11:49 2017
*filter
:INPUT DROP [47:3766]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [979:61914]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Dec  7 23:11:49 2017

Hors ligne

#8 07-12-2017 23:18:16

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Torbrowser et iptables

Je ne sais pas comment tu t'es débrouillé, mais la règle n'est pas en place.
Tu peux exécuter la commande directement dans le shell pour tester son effet.

Il vaut mieux montrer que raconter.

Hors ligne

#9 07-12-2017 23:22:39

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

Ok je test demain.
En tout cas, merci pour ton aide wink
Bonne nuit  zen.gif

Hors ligne

#10 08-12-2017 09:53:41

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

Bonjour raleur,
Tu as vu juste, merci pour ton aide !

Question de sécurité, j'ai beau lire et relire des ressources à gauche à droite j'ai du mal à visualisé certaines choses..
Que pense tu de ce genre de config d'iptables, est-ce que cela te parait plus / moins  judicieux qu'ufw ?
Un autre conseil à donné ?

merci.gif

Hors ligne

#11 08-12-2017 20:23:39

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Torbrowser et iptables

Je n'utilise pas ufw, j'utilise directement iptables pour le contrôle et la finesse qu'il procure. Mais pour faire ce que fait ton script, tu peux aussi bien utiliser ufw, ce sera plus simple et probablement plus sûr. Les humains qui n'ont pas de bases solides en réseau raisonnent plus facilement en termes de connexions et de flux (comme ufw) que de paquets (comme iptables).

Il vaut mieux montrer que raconter.

Hors ligne

#12 09-12-2017 04:51:13

Stephdeb
Membre
Distrib. : Debian 12 bookworm
Noyau : 6.1.0-13-amd64
(G)UI : Gnome
Inscription : 17-07-2017

Re : [Résolu] Torbrowser et iptables

Merci encore pour ton aide,
Je vais bosser iptables.

Hors ligne

Pied de page des forums