Vous n'êtes pas identifié(e).
Pages : 1
Effectivement, l'output est dropper. Si quelqu'un pouvait me dire quelle ligne m'ouvre l'accès au web, je lui serais reconnaissant à vie.
Je vous suggère de poster vos configs, de parler sécu, de débattre avec vigueur, d'avancer vos arguments et de vous mettre cordialement sur la tronche pour faire vivre ce topic qui s'annonce salutaire pour les incorrigibles noobs dans mon genre.
Go !
" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"
Leon Bloy
Hors ligne
Hors ligne
Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.
Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT ?
(le 443, c'est pour le HTTPS)
D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.
Dernière modification par Vertical (29-11-2013 14:08:35)
Hors ligne
Bunny_Euchrow a écrit :Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.
Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.sogalpunx a écrit :iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT ?
iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT
(le 443, c'est pour le HTTPS)
Pour maintenir les régles à chaque démarrage, utilise le paquet iptables-persistent.
@Vertical: correct, j'ai omis l'https dans l'exemple.
Par ailleurs, j'ai mieux compris l'utilisation d'iptables en lisant ça:
http://olivieraj.free.fr/fr/linux/infor … 03-05.html, si ça peut aider
Hors ligne
" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"
Leon Bloy
Hors ligne
Bunny_Euchrow a écrit :Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.
Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.sogalpunx a écrit :iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT ?
iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT
(le 443, c'est pour le HTTPS)
D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.
Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public
Complètement correct, au temps pour moi, grossière erreur.
Je commence tout juste à manipuler directement iptables et j'ai parfois un peu de mal avec les notions de ports de destinations et source, selon les connexions.
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Pour iptables la clé c'est la comprehension quand tu peux differencier input et output tu es sauvé
oui parce que du coup des ports source / destination ne sont plus sur les mêmes machines et c'est bien ça qui m'a confusé
D'ailleurs puisqu'on est sur le sujet d'iptables, y a t'il une raisons pour que rien ne soit configuré par défaut? que tout soit ouvert?
Si un utilisateur ne pense pas à configurer ça et laisse tel quel, est-ce que ça ne représente pas un problème?
Hors ligne
Dernière modification par Bunny_Euchrow (01-12-2013 13:47:08)
" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"
Leon Bloy
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie
En quoi est-ce différent d'un
??
Et en entrée, pour un PC de maison utilisant les services réseau "standard" (web, mail, torrent, im), est-ce qu'un:
Dernière modification par sogal (02-12-2013 20:13:49)
Hors ligne
Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie
J'ai essayé (en mettant les policies par défaut à drop), je n'arrive pas à accéder au web... Et en y repensant, je me dis qu'il faut bien que le trafic entrant... ben qu'il entre, justement
Voilà ma config. Si vous y voyez des faiblesses ou autres, n'hésitez pas à apporter vos remarques.
Hors ligne
Par défaut dans tout mes fw que j'administre la politique de INPUT et FORWARD sont a DROP
Dans ton cas a toi je ne comprends pas le:
Tu as un serveur web ?
Salutation
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Tu as un serveur web ?
Non non, un ordi "bureau". Tu dis ça par rapport à quoi ? Le input ou le output ?
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Pour le input car si tu ouvre le port 80 en input c est pour le serveur web
J'ai essayé de fermer le port 80 en input. Résultat : plus d'accès internet ! (en gros, par rapport à mon script précédent, j'ai commenté les 2 lignes INPUT sur le port 80). Donc y'a un truc que je ne pige pas, mais alors pas du tout...
le protocole udp pour le 80 n'est pas necesaire non plus
Je le pensais aussi, jusqu'à ce que je me rende compte que c'était le seul moyen pour que je puisse accéder à mon site web.
Hors ligne
Hors ligne
Par contre, il y a un truc qui m'échappe : ici, l'output est accepté par défaut. C'est bien mais ça ne me rassure pas. Mais si je drop l'output et que j'ajoute une ligne accept pour les connections établies ainsi que pour l'http et https, je n'ai pas accès au web.
EDIT : j'ai trouvé
Si dans les connections établies, je mets ceci :
eh ben ça ne marche pas.
Mais ça marche avec ceci :
Dernière modification par Bunny_Euchrow (09-01-2014 13:51:07)
" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"
Leon Bloy
Hors ligne
Si dans les connections établies, je mets ceci :
iptables -A OUPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
eh ben ça ne marche pas.
Mais ça marche avec ceci :
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
Dernière modification par Bunny_Euchrow (Aujourd'hui 08:51:07)
Salut,
Si je comprends bien la logique, la première ne marche pas car tu n'autorises que les connexions déjà établies à sortir.
Mais comme tu n'autorises à l'entrée que les connexions déjà établies (que tu as établies en sortie), ça se mort la queue
Hors ligne
" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"
Leon Bloy
Hors ligne
Pages : 1