[Résolut] Iptables mai que fait la police ?

LaFouine · 11-11-2019 02:23:42

Bonjours,

Le titre est certe humoristique, mai reste proche de ce que je vois,
je m'en suis rendu compte parce que je me fait un script en partant de rien. (donc a ne pas utiliser pour les débutant)

============================================ IPV4 MANGLE ============================================

Chain PREROUTING (policy ACCEPT 314496 packets, 471399375 bytes)

    pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 62880 packets, 3868073 bytes)

    pkts      bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 251614 packets, 467530150 bytes)

    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 50900 packets, 10830372 bytes)

    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 302330 packets, 478384961 bytes)

    pkts      bytes target     prot opt in     out     source               destination

============================================ IPV6 ============================================

Chain INPUT (policy ACCEPT 1 packets, 168 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 DROP       all      *      *       ::/0                 ::/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 DROP       all      *      *       ::/0                 ::/0

Chain OUTPUT (policy ACCEPT 1 packets, 72 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 DROP       all      *      *       ::/0                 ::/0

============================================ IPV4 NAT ============================================

Chain PREROUTING (policy ACCEPT 1188 packets, 88161 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 280 packets, 30958 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 27 packets, 1840 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 MASQUERADE  all  --  *      enp1s0  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 469 packets, 36029 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

============================================ IPV4 ============================================

Chain INPUT (policy ACCEPT 538 packets, 27458 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1          14      560 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 58 packets, 6979 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 LOG       !icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 40/hour burst 40 LOG flags 0 level 4 prefix "ACTION?LFORWARD"

2           0        0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 588 packets, 84704 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1          14     4304 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain startconn (0 references)

num      pkts      bytes target     prot opt in     out     source               destination

pour ceux qui comprenne pas ou je veux en venir, dans la chaine OUTPUT (pour ne citer que celle ci) : la police a 588 paquet et la règle qui est supposer faire la même chose en indique 14..... etc etc

Soit le compteur déconne, et on pourrai dire que c' est pas grave, oui mai non,
parce que la règle à la prioriter sur la police et celle ci devrai afficher 0... ça me le fait pareil si je met a drop....

c'est grave docteur ?

Dernière modification par LaFouine (04-12-2019 22:48:44)

paul-riluma · 01-12-2019 23:07:06

salut
ben, je sais pas si c'est "grave"...
mais ça semble pas complètement normal...
c'est comme si en fait iptable n'enregistrait pas tes modifications
donc
ça dépend aussi de comment tu conçois ton script.
soit en faisant un script dans /etc/init.d
donc là faut faire gaffe aux spécifitations idquées pour chaque système quant aux entêtes de script... je sais plus où dans le wiki debian on trouve ces trucs là à jours...

soit en faisant des fichiers rules.v4 et rules.v6 que tu mets dans /etc/iptables après installation de iptables-persistant...
dans ce dernier procédé, ben faut pas oublier à chaque modif dans un des fichiers rules de faire iptables-restore < /etc/iptales/rules.v4 ou ip6tables-restore < /etc/iptables/rules.v6
sans quoi tes modifications ne sont pas prises en compte... et donc t'as beau faire... t'obtient le même résultat en sortie d'un truc comme iptables -L
voilà...
bon...
euh...
autrement, ben indique éventuellement comment tu fais ton script, ça inspirera peut-être quelqu'un

LaFouine · 02-12-2019 07:32:53

paul-riluma a écrit :

salut
ben, je sais pas si c'est "grave"...
mais ça semble pas complètement normal...
c'est comme si en fait iptable n'enregistrait pas tes modifications

Bon je vai faire beaucoup plus court.

Chain OUTPUT (policy ACCEPT 1 packets, 72 bytes)

num      pkts      bytes target     prot opt in     out     source               destination

1           0        0 DROP       all      *      *       ::/0                 ::/0

La règle DOIT virer le paquet.
La règle est bien présente.
La règle prime sur la policy !

hors c est la "policy" qui accepte ce paquet.
la règle est on ne peux plus simple c'est tout les paquet quelle qu'il soit doive être droper,
c'est supposer faire un double emploi si la chaîne principale était a DROP.

Rien avoir avec un script ou des règles qui ne serai pas chargée.

Plus simple je ne pourrait malheureusement pas faire....

Merci pour ta réponse:)

paul-riluma · 02-12-2019 10:33:24

euh...
ben...
plus tu fais court, moins je comprends le sens de la question que tu poses...

tu livres là une réponse qui semble venir d'une commande en console genre iptables -L
et qui indique que pour la chaine OUTPUT la cible de la règle par défaut qui y est appliquée est ACCEPT
or ben effectivement, la ligne suivante indique que la cible appliquée au paquet est DROP...

pour bien comprendre autant ta question que ce qui se passe, il serait nécessaire de voir par quel libellé de règles tu es passé et dans quel ordre dans le fichier d'enregistrement des règles tu as inscrit les diverses règles...
bon, ça m'a intéressé ta question parce que je révise régulièrement les howto concernant iptables que j'ai du mal à garder en mémoire...
bon, par exemple là je viens de relire celui ci : https://netfilter.org/documentation/HOW … WTO-7.html

dans le langage de réponse de iptables, policy ça correspond à cible. dans la parenthèse, pour la chaine INPUT, la cible par défaut des règles appliquées est ACCEPT, mais après, si t'as par la suite dans l'ordre des règles inscrites une règle qui pour tous les paquets ou certains qui peuvent être les seuls à avoir été émis... si t'as ajouté une règle dont la cible, la policy, est DROP, ben voilà quoi, le seul paquet détecté étant du genre à correspondre à la règle dont la cible est DROP, craque, il se fait dropper...

mais bon, comme on n'a pas la lecture du fichier où sont organisés tes règles, on peut pas vraiment comprendre ce qui t'inquiète dans tout ça...

c'est pas une histoire de prédominance de cible sur règle... chaque règle a une cible
en revanche si tu commence par une cible globale positionnée sur ACCEPT et que par la suite tu introduis une règle pour tous les paquets quelqu'ils soient dont la cible est positionnée à DROP, ben iptables te répond qu'au départ la règle par défaut est ciblée ACCEPT, mais que celle qui est appliquée est ciblée à DROP...

finbon, j'sais pas hein... mais dans mes essais de scripts, souvent je me suis aperçu que je ne mettais pas les règles dans un bon ordre à l'égard du comment je cherchais à filtrer les diverses sortes de paquets...

en général, le truc c'est de mettre la cible par défaut à DROP
et ensuite de mettre des règles d'acceptation de paquets en fonction de certains critères sur les paquets...
donc t'as une "policy" par défaut à DROP, et ensuite, des acceptations selon divers critères qui apparaisse
et faut encore faire gaffe aux ordre dans lesquels on fait apparaître les règles, certains critères pouvant être plus globaux que d'autres sur les paquets... et du coup, t'azs une règle final qui ouvre trop large alors que t'as avant celle là d'autre règles...

amuse-toi bien...

raleur · 02-12-2019 20:54:51

Peut-être simplement des paquets qui ont été émis avant que la règle soit créée.
Est-ce que le compteur de la chaîne augmente après que la règle a été créée ?

PS : la sortie de ip{6}tables -L est illisible. Utilise plutôt ip{6}tables-save.

LaFouine · 04-12-2019 22:48:06

A force de chercher et de faire, j'ai fini par refaire un script, parfois c'est plus claire.

l'erreur proviens bien de l'injection des règles, non pas par erreur, que ce soie dans l'ordre ou la sytaxe.
Oui mai

Le délai que met la machine pour faire le boulot. le temps est assez long (pour le script seulement) du coup avec un script bien plus court ce problème ce pose pas.

Explication :
La cause certaine règle n'étant pas encore présente certain paquet pouvais donc passer le temps que le script ce termine

j'avais jamais pris cela en compte car les machine que j'avais font le boulot plus rapidement.

Note,c'est préciser sur aucun tutoriel que j'ai lu

Le sujet est donc résolut

raleur · 04-12-2019 23:20:47

Deux remarques :

1) L'injection des règles une par une avec iptables est un processus long et peu efficace. Il est possible d'injecter un jeu de règles de façon atomique avec iptables-restore.

2) Pour bien faire, les règles iptables devraient être mises en place avant l'activation des interfaces réseau. Ainsi peu importe le temps que ça prend, de toute façon il n'y a pas de trafic pendant ce temps.

LaFouine · 04-12-2019 23:40:36

raleur a écrit :

Deux remarques :

1) L'injection des règles une par une avec iptables est un processus long et peu efficace. Il est possible d'injecter un jeu de règles de façon atomique avec iptables-restore.

2) Pour bien faire, les règles iptables devraient être mises en place avant l'activation des interfaces réseau. Ainsi peu importe le temps que ça prend, de toute façon il n'y a pas de trafic pendant ce temps.

1.- c'est ce qui est fait une foit que le scripte a mis a jour les règles,il faut bien les mettre a jours

2.- sur un serveur connexion ssh(ou autre) risque de pas trop apprécier si tu passes par : un redémarrage des interfaces.

Merci pour vos réponse

raleur · 05-12-2019 00:04:48

Mes remarques s'appliquaient au démarrage.
Que veux-tu dire par "les mettre à jour" ?

Dernière modification par raleur (05-12-2019 00:06:13)

Debian-facile

#1 11-11-2019 02:23:42

[Résolut] Iptables mai que fait la police ?

#2 01-12-2019 23:07:06

Re : [Résolut] Iptables mai que fait la police ?

#3 02-12-2019 07:32:53

Re : [Résolut] Iptables mai que fait la police ?

#4 02-12-2019 10:33:24

Re : [Résolut] Iptables mai que fait la police ?

#5 02-12-2019 20:54:51

Re : [Résolut] Iptables mai que fait la police ?

#6 04-12-2019 22:48:06

Re : [Résolut] Iptables mai que fait la police ?

#7 04-12-2019 23:20:47

Re : [Résolut] Iptables mai que fait la police ?

#8 04-12-2019 23:40:36

Re : [Résolut] Iptables mai que fait la police ?

#9 05-12-2019 00:04:48

Re : [Résolut] Iptables mai que fait la police ?

Pied de page des forums