logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-11-2013 11:22:17

Bunny_Euchrow
Membre
Distrib. : Debian 12
Noyau : 6.1.0-18-amd64
(G)UI : XFCE
Inscription : 07-08-2012

Iptables : Sujet fleuve

Yowk,


Étant une véritable croûte en réseau et tout le toutim, je me demandais si un sujet sur iptables avec vos configurations de base ne serait pas bienvenu pour ceux qui sont dans le même cas que moi.
Le but du saint-tintouin serait de faire un sujet ou chacun posterait sa config en stipulant l'usage auquel elle serait destinée. Ainsi, les newbies dans mon genre pourrait, à force, y voir plus clair.


Voici ma config. Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.

iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT




Effectivement, l'output est dropper. Si quelqu'un pouvait me dire quelle ligne m'ouvre l'accès au web, je lui serais reconnaissant à vie.


Je vous suggère de poster vos configs, de parler sécu, de débattre avec vigueur, d'avancer vos arguments et de vous mettre cordialement sur la tronche pour faire vivre ce topic qui s'annonce salutaire pour les incorrigibles noobs dans mon genre.

Go !


" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"

    Leon Bloy

Hors ligne

#2 29-11-2013 14:01:35

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT  ?

Dernière modification par sogal (29-11-2013 14:03:27)


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#3 29-11-2013 14:07:44

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)

D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.

Dernière modification par Vertical (29-11-2013 14:08:35)

Hors ligne

#4 29-11-2013 14:40:55

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

Vertical a écrit :

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)



Pour maintenir les régles à chaque démarrage, utilise le paquet iptables-persistent.
@Vertical: correct, j'ai omis l'https dans l'exemple.

Par ailleurs, j'ai mieux compris l'utilisation d'iptables en lisant ça:
http://olivieraj.free.fr/fr/linux/infor … 03-05.html, si ça peut aider smile


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#5 29-11-2013 17:42:32

Bunny_Euchrow
Membre
Distrib. : Debian 12
Noyau : 6.1.0-18-amd64
(G)UI : XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

J'ai utilisé iptables-persistent justement. Mais je ne pense pas vraiment en fin de compte que ma config comporte un soucis, la config proposée sur la page iptables du site ubuntu propose quelque chose de similaire.

" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"

    Leon Bloy

Hors ligne

#6 29-11-2013 17:49:07

david96
Invité

Re : Iptables : Sujet fleuve

Que voilà un sujet intéressant, je voulais justement me mettre à iptables smile

#7 30-11-2013 00:58:35

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Iptables : Sujet fleuve

Vertical a écrit :

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)

D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.



Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 30-11-2013 04:38:10

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public



Complètement correct, au temps pour moi, grossière erreur. sad
Je commence tout juste à manipuler directement iptables et j'ai parfois un peu de mal avec les notions de ports de destinations et source, selon les connexions. hmm


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#9 30-11-2013 04:43:21

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Iptables : Sujet fleuve

Pour iptables la clé c'est la comprehension quand tu peux differencier input et output tu es sauvé smile

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#10 30-11-2013 12:02:23

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Pour iptables la clé c'est la comprehension quand tu peux differencier input et output tu es sauvé smile



smile oui parce que du coup des ports source / destination ne sont plus sur les mêmes machines et c'est bien ça qui m'a confusé smile

D'ailleurs puisqu'on est sur le sujet d'iptables, y a t'il une raisons pour que rien ne soit configuré par défaut? que tout soit ouvert?
Si un utilisateur ne pense pas à configurer ça et laisse tel quel, est-ce que ça ne représente pas un problème?


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#11 30-11-2013 18:42:13

Bunny_Euchrow
Membre
Distrib. : Debian 12
Noyau : 6.1.0-18-amd64
(G)UI : XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Ouep c'est open-bar d'origine pour un paquet de distributions. Je ne sais pas s'il y a des distos qui proposent une config de base par contre.


Et au sujet de ma config, voici la ligne qui permet à ma connection de fonctionner :

iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (01-12-2013 13:47:08)


" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"

    Leon Bloy

Hors ligne

#12 02-12-2013 03:49:19

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Iptables : Sujet fleuve

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#13 02-12-2013 19:55:32

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie



En quoi est-ce différent d'un

iptables -P OUTPUT ACCEPT

??

Et en entrée, pour un PC de maison utilisant  les services réseau "standard" (web, mail, torrent, im), est-ce qu'un:

Chain INPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http
2    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:54752
3    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:imap2
4    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:pop3
5    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:https
6    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain
7    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
9    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
10   ACCEPT     icmp --  anywhere             anywhere            
 

Dernière modification par sogal (02-12-2013 20:13:49)


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#14 03-12-2013 18:47:03

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie


J'ai essayé (en mettant les policies par défaut à drop), je n'arrive pas à accéder au web... hmm Et en y repensant, je me dis qu'il faut bien que le trafic entrant... ben qu'il entre, justement big_smile

Voilà ma config. Si vous y voyez des faiblesses ou autres, n'hésitez pas à apporter vos remarques.


#!/bin/bash

# Loopback interface configuration
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# DNS (résulution des noms de domaine)
/sbin/iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT

# Autoriser le trafic web http
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 80 -j ACCEPT

# Autoriser le trafic web https
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

# Autoriser IMAP2
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 143 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 143 -j ACCEPT

# Autorisation du SMTP
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 25 -j ACCEPT

# Serveur sortant montagnisme
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 587 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 587 -j ACCEPT

# Autorisation du SSH
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT

# Autorisation du FTP
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT

# Autorisation de SFT
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 115 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 115 -j ACCEPT


# Pour finir, interdiction de tout le reste
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

 

Hors ligne

#15 04-12-2013 06:48:10

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Iptables : Sujet fleuve

Toujours definir les politque et nettoyer les chaines au début ca te permet d'avoir un fw propre

Exemple d'un script banal qui tourne sur un serveur web/mai/dns


iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#### local ####
iptables -A INPUT -i lo -j ACCEPT

#### INPit ####

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 80  -s 0/0 -j ACCEPT
iptables -A INPUT -p tcp --dport 45118 -j ACCEPT

 



Par défaut dans tout mes fw que j'administre la politique de INPUT et FORWARD sont a DROP

Dans ton cas a toi je ne comprends pas le:


# Autoriser le trafic web http
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 80 -j ACCEPT
 


Tu as un serveur web ?

Salutation


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#16 04-12-2013 08:33:15

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Tu as un serveur web ?


Non non, un ordi "bureau". Tu dis ça par rapport à quoi ? Le input ou le output ?

Hors ligne

#17 04-12-2013 12:30:47

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Iptables : Sujet fleuve

Pour le input car si tu ouvre le port 80 en input c est pour le serveur web et rien d'autre et le protocole udp pour le 80 n'est pas necesaire non plus.

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#18 04-12-2013 12:53:01

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Pour le input car si tu ouvre le port 80 en input c est pour le serveur web


J'ai essayé de fermer le port 80 en input. Résultat : plus d'accès internet ! sad (en gros, par rapport à mon script précédent, j'ai commenté les 2 lignes INPUT sur le port 80). Donc y'a un truc que je ne pige pas, mais alors pas du tout...

MaTTuX_ a écrit :

le protocole udp pour le 80 n'est pas necesaire non plus


Je le pensais aussi, jusqu'à ce que je me rende compte que c'était le seul moyen pour que je puisse accéder à mon site web.

Hors ligne

#19 04-12-2013 13:45:19

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

En fait, en INPUT tu autorises les entrées qui arrivent d'un port 80 ou 443 (les ports du serveurs web auquel tu te connectes) donc => --sport
Mais tu n'autorises pas les connections entrantes sur TES ports 80 / 443 à toi => --dport

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#20 09-01-2014 13:28:08

Bunny_Euchrow
Membre
Distrib. : Debian 12
Noyau : 6.1.0-18-amd64
(G)UI : XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Bon, ai refait une config plus propre, lisible. J'en ai profité pour l'utiliser directement avec init.d plutôt qu'avec iptables-persistent.
J'ai évidemment commenté ce dont je ne me sers pas actuellement (de toute façon, ma box file des ip dynamiques, donc pour faire serveur, c'est moyen)




#!/bin/bash

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog $local_fs $network
# Required-Stop:     $remote_fs $syslog $local_fs $network
# Should-Start:      $named
# Should-Stop:       $named
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Applique des règles iptables
# Description:       Ce script contient le paramétrage du pare-feu
### END INIT INFO



#Nettoyage des règles existantes
iptables -t filter -F
iptables -t filter -X


#Règles par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT


#Drop des scans
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP


# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT


# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT


#Serveur Web
#iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT


#Si vous hébergez un serveur FTP :
# FTP Out
#iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT


# FTP In
#modprobe ip_conntrack_ftp
#iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
 






Par contre, il y a un truc qui m'échappe : ici, l'output est accepté par défaut. C'est bien mais ça ne me rassure pas. Mais si je drop l'output et que j'ajoute une ligne accept pour les connections établies ainsi que pour l'http et https, je n'ai pas accès au web.



EDIT : j'ai trouvé
Si dans les connections établies, je mets ceci :

 iptables -A OUPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


eh ben ça ne marche pas.

Mais ça marche avec ceci :

iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (09-01-2014 13:51:07)


" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"

    Leon Bloy

Hors ligne

#21 09-01-2014 15:56:05

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

Bunny_Euchrow a écrit :

Si dans les connections établies, je mets ceci :
iptables -A OUPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

eh ben ça ne marche pas.

Mais ça marche avec ceci :
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (Aujourd'hui 08:51:07)



Salut,

Si je comprends bien la logique, la première ne marche pas car tu n'autorises que les connexions déjà établies à sortir.
Mais comme tu n'autorises à l'entrée que les connexions déjà établies (que tu as établies en sortie), ça se mort la queue smile


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#22 09-01-2014 16:17:39

Bunny_Euchrow
Membre
Distrib. : Debian 12
Noyau : 6.1.0-18-amd64
(G)UI : XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Merci beaucoup.

N'hésitez pas à poster vos configs d'ailleurs.

" Je suis escorté du démon lyrique qui me chuchote sans cesse que la vie bien entendue doit être une continuelle persécution, tout vaillant homme un persécuteur, et que c'est la seule manière d'être un poète. Persécuteur de soi-même, persécuteur du genre humain, persécuteur de Dieu. Celui qui n'est pas cela, soit en acte, soit en puissance, est indigne de respirer"

    Leon Bloy

Hors ligne

Pied de page des forums