logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 12-04-2020 17:16:05

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

dudux2 a écrit :

gagne quelque ligne de code et de la lisibilité!


Et de la maintenabilité, tout ça grâce à la suppression des duplications.

Par contre les commentaires qui accompagnent l'utilisation et le remplissage de la chaîne STATUS_RELATED manquent un peu de cohérence : les premiers mentionnent des types ICMP devant des règles qui ne mentionnent pas ce protocole, et le dernier mentionne "Gestion de la passerelle" dont on se demande ce qu'il fait là.

Au passage, l'appellation "passerelle" (gateway) dans ce cadre est déconseillée car considérée comme trop imprécise ; on doit plutôt utiliser "routeur".


Il vaut mieux montrer que raconter.

Hors ligne

#27 13-04-2020 12:01:47

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Oui j'y ai été un peu vite sur ces dernières corrections. Merci.

mon script:


#!/bin/sh
# Provides:          Firewall Rules


#### https://debian-facile.org//viewtopic.php?id=26878
#### Merci à raleur pour son partage de connaissances

######################################################################
# D E F I N I T I O N   D E   V A R I A B L E S
######################################################################



# Variable de couleur shell
red='\033[0;31m'
green='\033[0;32m'
yellow='\033[0;33m'
blue='\033[0;34m'
yellowBold='\033[1;33m'
redBgWhiteBold='\033[1;41m'
greenBgWhiteBold='\033[1;42m'
NC='\033[0m'
OK="${yellowBold}[${NC}${green}OK${NC}${yellowBold}]${NC}"



# test lancement en root
USER=$(whoami)
if [ "$USER" != "root" ]; then
  echo "Exécution en root ou en sudo obligatoire.."
  exit
fi



PATH=/sbin:/bin:/usr/sbin:/usr/bin

if ! [ -x /sbin/iptables ]; then
 exit 0
fi



# Commandes
IPT="/sbin/iptables"

# Interface modem 4G
IFACE_INET="wwan0"

# Interface du bridge
IFACE_BRDG="br0"

# Fichiers logs complets, si actif (DEBUG)
FULL_LOGS=0




# Si le mode debogue est actif
if [ "$FULL_LOGS" -eq 1 ]; then
  LIMIT_LOGS="-m limit --limit 3/min --limit-burst 3"
  echo ""
  echo "  - ${yellowBold} ..::  F U L L  L O G S  A C T I F  ::.. : ${NC} ${OK}"
else
  LIMIT_LOGS=""
  echo ""
  echo "  - ${yellowBold} ..::  L I M I T  L O G S  A C T I F  ::.. : ${NC} ${OK}"
fi




fw_start()
{
######################################################################
# I N I T I A L I S A T I O N   D U   P A R E F E U
######################################################################

#####################
# On vide les chaines
# On vide les chaines personnalisées
# On réinitialise les compteurs

# Table RAW
$IPT -t raw -F
$IPT -t raw -X
$IPT -t raw -Z

# Table MANGLE
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t mangle -Z

# Table NAT
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -Z

# Table FILTER
$IPT -t filter -F
$IPT -t filter -X
$IPT -t filter -Z


# Politique de la table du Filtre sur DROP
$IPT -t filter -P INPUT DROP
$IPT -t filter -P OUTPUT DROP
$IPT -t filter -P FORWARD DROP







#####################
# Création de nouvelles chaînes
# Pour rediriger les logs
# Dans des fichiers personalisées

# RAW
$IPT -t raw -N RAW_LOG_N_DROP

# MANGLE
$IPT -t mangle -N MANGLE_LOG_N_DROP

# NAT
$IPT -t nat -N LOG_N_MASQ

# FILTER
$IPT -t filter -N LOG_N_ACCEPT
$IPT -t filter -N LOG_N_DROP
$IPT -t filter -N LOG_N_REJECT
$IPT -t filter -N STATUS_RELATED
$IPT -t filter -N LOG_ACCEPT_ICMP

# FAIL2BAN POLICY
$IPT -t filter -N Fail2Ban-SSH





echo ""
echo "  - ${green} Initialisation du Parefeu : ${NC} ${OK}"





######################################################################
# * R A W
######################################################################


echo ""
echo "  - ${green} Règles du parefeu ..:: Table RAW ::.. : ${NC} ${OK}"




######################################################################
# * M A N G L E
######################################################################

# Manque l'explication!
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
# Paquet avec SYN et FIN à la fois
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MANGLE_LOG_N_DROP
# Paquet avec SYN et RST à la fois
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MANGLE_LOG_N_DROP
# Paquet avec FIN et RST à la fois
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MANGLE_LOG_N_DROP
# Paquet avec FIN mais sans ACK
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MANGLE_LOG_N_DROP
# Paquet avec URG mais sans ACK
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j MANGLE_LOG_N_DROP
# Paquet avec PSH mais sans ACK
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MANGLE_LOG_N_DROP
# Paquet avec tous les flags à 1 <=> XMAS scan dans Nmap
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j MANGLE_LOG_N_DROP
# Paquet avec tous les flags à 0 <=> Null scan dans Nma
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
# Paquet avec FIN,PSH, et URG mais sans SYN, RST ou ACK
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j MANGLE_LOG_N_DROP
# Paquet avec FIN,SYN,PSH,URG mais sans ACK ou RST
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j MANGLE_LOG_N_DROP
# Paquet avec FIN,SYN,RST,ACK,URG à 1 mais pas PSH
$IPT -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j MANGLE_LOG_N_DROP


echo ""
echo "  - ${green} Règles du parefeu ..:: Table MANGLE ::.. : ${NC} ${OK}"






######################################################################
# G E S T I O N   M A C H I N E   L O C A L E
######################################################################

# Nous considérons que la machine elle même est sûre
# et que les processus locaux peuvent communiquer entre eux
# via l'interface locale :
$IPT -t filter -A INPUT -i lo -j LOG_N_ACCEPT
$IPT -t filter -A OUTPUT -o lo -j LOG_N_ACCEPT

echo ""
echo "  - ${green} Règles du parefeu ..:: Serveur Locale ::.. : ${NC} ${OK}"






######################################################################
# G E S T I O N   D U  R O U T E U R
######################################################################

# Gestion du routeur (MASQUERADE) Translation d'adresses pour tout ce qui traverse la passerelle
$IPT -t nat -A POSTROUTING -o $IFACE_INET -j LOG_N_MASQ

# Gestion du routeur (On autorise tout le traffic (sauf RELATED)
$IPT -t filter -A FORWARD -i $IFACE_BRDG -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A FORWARD -i $IFACE_INET -o $IFACE_BRDG -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion du routeur (Statut RELATED) On filtre tout ce qui est en statut RELATED
$IPT -t filter -A FORWARD -i $IFACE_BRDG -o $IFACE_INET -m state --state RELATED -j STATUS_RELATED
$IPT -t filter -A FORWARD -i $IFACE_INET -o $IFACE_BRDG -m state --state RELATED -j STATUS_RELATED


echo ""
echo "  - ${green} Règles du parefeu ..:: LAN/WLAN -> INTERNET ::.. : ${NC} ${OK}"




######################################################################
# G E S T I O N    S E R V E U R  ->  L A N / W L A N
######################################################################

# On permet toutes les liaisons SERVEUR-LAN/WLAN (sauf RELATED)
$IPT -t filter -A INPUT -i $IFACE_BRDG -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR-LAN/WLAN (Statut RELATED) On filtre tout ce qui est en statut RELATED
$IPT -t filter -A INPUT -i $IFACE_BRDG -m state --state RELATED -j STATUS_RELATED


echo ""
echo "  - ${green} Règles du parefeu ..:: FIREWWAL -> LAN/WLAN ::.. : ${NC} ${OK}"




######################################################################
# G E S T I O N   L A N / W L A N  ->  S E R V E U R
######################################################################

#on permet toutes les liaisons LAN/WLAN-SERVEUR (sauf RELATED)
$IPT -t filter -A OUTPUT -o $IFACE_BRDG -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT

# Gestion LAN/WLAN->SERVEUR (Statut RELATED) On filtre tout ce qui est en statut RELATED
$IPT -t filter -A OUTPUT -o $IFACE_BRDG -m state --state RELATED -j STATUS_RELATED


echo ""
echo "  - ${green} Règles du parefeu ..:: LAN/WLAN -> FIREWALL ::.. : ${NC} ${OK}"




######################################################################
# G E S T I O N   I N T E R N E T -> S E R V E U R
######################################################################

# Gestion INTERNET->SERVEUR (Statut RELATED) On filtre tout ce qui est en statut RELATED
$IPT -t filter -A INPUT -i $IFACE_INET -m state --state RELATED -j STATUS_RELATED

echo ""
echo "  - ${green} Règles du parefeu ..:: INTERNET -> SERVEUR ::.. : ${NC} ${OK}"





######################################################################
# G E S T I O N   S E R V E U R  -> I N T E R N E T
######################################################################

# Gestion SERVEUR->INTERNET (Statut RELATED) On filtre tout ce qui est en statut RELATED
$IPT -t filter -A OUTPUT -o $IFACE_INET -m state --state RELATED -j STATUS_RELATED

# Gestion SERVEUR->INTERNET (ping) [echo-request=type8] et [echo-reply=type0]
$IPT -t filter -A OUTPUT -p icmp --icmp-type echo-request -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p icmp --icmp-type echo-reply -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR->INTERNET (dns)
$IPT -t filter -A OUTPUT -p udp --dport 53 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p udp --sport 53 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A OUTPUT -p tcp --dport 53 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p tcp --sport 53 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR->INTERNET (http/https)
$IPT -t filter -A OUTPUT -p tcp --dport 80 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p tcp --sport 80 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A OUTPUT -p tcp --dport 443 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p tcp --sport 443 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR->INTERNET (ntp)
$IPT -t filter -A OUTPUT -p udp --dport 123 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p udp --sport 123 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A OUTPUT -p tcp --dport 123 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p tcp --sport 123 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR->INTERNET (smtp)
$IPT -t filter -A OUTPUT -p tcp --dport 587  -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT -p tcp --sport 587  -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

# Gestion SERVEUR->INTERNET (serveur de clefs gpg)
$IPT -t filter -A OUTPUT -p tcp --dport 11371 -o $IFACE_INET -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
$IPT -t filter -A INPUT  -p tcp --sport 11371 -i $IFACE_INET -m state --state ESTABLISHED -j LOG_N_ACCEPT

echo ""
echo "  - ${green} Règles du parefeu ..:: FIREWALL -> INTERNET ::.. : ${NC} ${OK}"







######################################################################
# R E J E T T E  T O U S  L E S  A U T R E S  P A Q U E T S
######################################################################
$IPT -t filter -A INPUT -j LOG_N_DROP
$IPT -t filter -A FORWARD -j LOG_N_DROP
$IPT -t filter -A OUTPUT -j LOG_N_DROP






#### RAW
$IPT -t raw -A RAW_LOG_N_DROP $LIMIT_LOGS -j LOG --log-prefix "ACTION1=DROP-RAW"
$IPT -t raw -A RAW_LOG_N_DROP -j DROP

#### MANGLE
$IPT -t mangle -A MANGLE_LOG_N_DROP $LIMIT_LOGS -j LOG --log-prefix "ACTION2=DROP-MANGLE"
$IPT -t mangle -A MANGLE_LOG_N_DROP -j DROP

#### NAT
$IPT -t nat -A LOG_N_MASQ $LIMIT_LOGS -j LOG --log-prefix "ACTION3=MASQ-NAT"
$IPT -t nat -A LOG_N_MASQ -j MASQUERADE

#### FILTER
$IPT -t filter -A LOG_N_ACCEPT $LIMIT_LOGS -j LOG --log-prefix "ACTION4=ACCEPT-INPUT"
$IPT -t filter -A LOG_N_ACCEPT -j ACCEPT

$IPT -t filter -A LOG_N_DROP $LIMIT_LOGS -j LOG --log-prefix "ACTION5=DROP-INPUT"
$IPT -t filter -A LOG_N_DROP -j DROP

$IPT -t filter -A LOG_N_REJECT $LIMIT_LOGS -j LOG --log-prefix "ACTION6=REJECT-INPUT"
$IPT -t filter -A LOG_N_REJECT -j REJECT

# (ICMP) [destination-unreachable=type3] & [time-exceeded=type11] & [parameter-problem=type12]
$IPT -t filter -A STATUS_RELATED -p icmp --icmp-type destination-unreachable -j LOG_ACCEPT_ICMP
$IPT -t filter -A STATUS_RELATED -p icmp --icmp-type time-exceeded -j LOG_ACCEPT_ICMP
$IPT -t filter -A STATUS_RELATED -p icmp --icmp-type parameter-problem -j LOG_ACCEPT_ICMP
$IPT -t filter -A LOG_ACCEPT_ICMP $LIMIT_LOGS -j LOG --log-prefix "ACTION7=ACCEPT-ICMP"


# FAIL2BAN POLICY
$IPT -t filter -A Fail2Ban-SSH -j RETURN
$IPT -t filter -A INPUT -j LOG --log-prefix "ACTION8=DROP-POLICY"


sleep 5

echo ""
echo "  - ${blue}Liste des règles de la tables RAW: ${NC}"
$IPT -t raw -vnL --line-numbers
echo ""
echo "  - ${blue}Liste des règles de la tables MANGLE: ${NC}"
$IPT -t mangle -vnL --line-numbers
echo ""
echo "  - ${blue}Liste des règles de la tables NAT: ${NC}"
$IPT -t nat -vnL --line-numbers
echo ""
echo "  - ${blue}Liste des règles de la tables FILTER: ${NC}"
$IPT -t filter -vnL --line-numbers
echo "${greenBgWhiteBold}Fait!${NC} ${OK}"
echo ""

}

sw_help()
{
    echo "  - ${yellow}Usage: $0 {start|blockAllInput|restart|clear|test|list|status|save|restore|help}${NC}"
    echo "  - ${red}Attention blockAllInput bloque tous trafic entrant/sortant!!!${NC}"
    echo "  - ${red}Attention clear autorise tous trafic entrant/sortant!!!${NC}"
    echo "  - ${red}Utiliser la commande test pour chaque modification, car elle sera active seulement 60 secondes!!!${NC}"
    echo ""
    echo "  - ${green}Un paquet à destination de notre serveur va donc passer dans l’ordre par les tables suivantes  :${NC}"

    echo "  - ${yellow}PREROUTING – raw${NC}"
    echo "  - ${yellow}PREROUTING – mangle${NC}"
    echo "  - ${yellow}PREROUTING – nat${NC}"
    echo "  - ${yellow}INPUT – mangle${NC}"
    echo "  - ${yellow}INPUT – filter${NC}"

    echo "  - ${green}Et si ce paquet ne se fait pas droper par une de ces table, ${NC}"
    echo "  - ${green}et atteint une règle finissant en ACCEPT (puisqu’on a mis une policy DROP sur INPUT),${NC}"
    echo "  - ${green}il sera transféré vers le service réseau demandé.${NC}"
    echo "  - ${green}Pour résumer, voici un récapitulatif de certaines attributs définis dans nos règles : ${NC}"
    echo "  - ${green}Dans la ligne de votre nouvelle règle, il faut préciser les paquets sont traités en entrée, en sortie ou bien s’ils sont routés: ${NC}"
    echo "  - ${yellow}FORWARD ${NC}${blue}: Traite les paquets routés. ${NC}"
    echo "  - ${yellow}INPUT ${NC}${blue}: Traite les paquets entrants. ${NC}"
    echo "  - ${yellow}OUTPUT ${NC}${blue}: Traite les paquets sortants. ${NC}"
    echo ""
    echo "  - ${green}Ceci définit l’action à faire sur les paquets d’une règle inscrite dans la table des règles : ${NC}"
    echo "  - ${yellow}DROP ${NC}${blue}: Le paquet est rejeté, aucune notification n’est envoyée à la source. ${NC}"
    echo "  - ${yellow}REJECT ${NC}${blue}: Le paquet est rejeté, une notification est envoyée à la source ${NC}"
    echo "  - ${yellow}ACCEPT ${NC}${blue}: Le paquet est accepté. ${NC}"
    echo ""
    echo "  - ${green}La définition des attributs pour les règles: ${NC}"
    echo "  - ${yellow}-A ${NC}${blue}: ajoute une règle ${NC}"
    echo "  - ${yellow}-D ${NC}${blue}: supprime un règle ${NC}"
    echo "  - ${yellow}-F ${NC}${blue}: vide les tables ${NC}"
    echo "  - ${yellow}-X ${NC}${blue}: vide les règles ${NC}"
    echo "  - ${yellow}-L ${NC}${blue}: liste les règles ${NC}"
    echo "  - ${yellow}-i ${NC}${blue}: interface entrante ${NC}"
    echo "  - ${yellow}-o ${NC}${blue}: interface sortante ${NC}"
    echo "  - ${yellow}-p ${NC}${blue}: protocole ${NC}"
    echo "  - ${yellow}-s ${NC}${blue}: nom d’hôte ou adresse ip ${NC}"
    echo "  - ${yellow}-j ${NC}${blue}: jump, action de la règle (ACCEPT, DROP, REJECT ) ${NC}"
    echo "  - ${yellow}-m ${NC}${blue}: options de concordance ${NC}"
    echo "  - ${yellow}–dport ${NC}${blue}: numéro port de destination ${NC}"
    echo "  - ${yellow}–sport ${NC}${blue}: numéro du port source ${NC}"
    echo ""
}

######################################################################
# Bloque tout les packets routé et entrant
######################################################################
 
fw_blockAllInput ()
{
$IPT  -t filter -F
$IPT  -t nat -F
$IPT  -t mangle -F
$IPT  -P INPUT DROP
$IPT  -P FORWARD DROP
$IPT  -P OUTPUT ACCEPT
}
 
######################################################################
# Suppression des règles du firewal et on accepte tout
######################################################################
 
fw_clear ()
{
  $IPT  -t filter -F
  $IPT  -t filter -X
  $IPT  -t filter -Z
  $IPT  -t nat -F
  $IPT  -t nat -X
  $IPT  -t nat -Z
  $IPT  -t mangle -F
  $IPT  -t mangle -X
  $IPT  -t mangle -Z
  $IPT  -t raw -F
  $IPT  -t raw -X
  $IPT  -t raw -Z
  $IPT  -P INPUT ACCEPT
  $IPT  -P OUTPUT ACCEPT
  $IPT  -P FORWARD ACCEPT
  echo "  - ${blue}FILTER [ALL RULES .... [FLUSH] ..... POLICY ......> [ACCEPT]${NC} ${OK}"
  $IPT -t nat -P PREROUTING ACCEPT
  $IPT -t nat -P POSTROUTING ACCEPT
  $IPT -t nat -P OUTPUT ACCEPT
  $IPT -t mangle -P PREROUTING ACCEPT
  $IPT -t mangle -P OUTPUT ACCEPT
  $IPT -t mangle -P POSTROUTING ACCEPT
  $IPT -t mangle -P FORWARD ACCEPT
  $IPT -t mangle -P INPUT ACCEPT
  $IPT -t raw -P OUTPUT ACCEPT
  $IPT -t raw -P PREROUTING ACCEPT
  echo "  - ${blue}ALL TABLES ....[FLUSH] ..... ALL POLICY .......> [ACCEPT]${NC} ${OK}"
}


 
fw_save ()
{
    $IPT-save > /etc/iptables/rules.v4
}
 
fw_restore ()
{
    $IPT-restore < /etc/iptables/rules.v4
}

######################################################################
# Test the Firewall rules
######################################################################
fw_test ()
{
    fw_save
    fw_clear
    fw_start
    sleep 30
    echo "  - ${green}Restauration des anciennes règles du parefeu...${NC} ${OK}"
    fw_restore
}

case "$1" in
start|restart)
    echo ""
    echo "  - ${green}Démarrage du parfeu...${NC} ${OK}"
    fw_blockAllInput
    fw_start
    echo "  - ${green}Redémarrage de Fail2ban pour la restauration des règles${NC} ${OK}"
    # relance fail2ban si installe
    if [ -x /usr/bin/fail2ban-server ]; then
        systemctl restart fail2ban
    fi
   
  echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;

blockAllInput)
    echo ""
    echo "  - ${green}Verrouillage du traffic entrant...${NC} ${OK}"
    fw_blockAllInput
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;

clear)
    echo ""
    echo "  - ${green}Vide les règles du parefeu${NC} ${OK}"
    fw_clear
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;

test)
    echo ""
    echo "  - ${green}Test des nouvelles règles du parefeu...${NC} ${OK}"
    echo "  - ${green}L'ancienne configuration sera restauré dans 60 secondes...${NC} ${OK}"
    fw_test
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;

save)
    echo ""
    echo "  - ${green}Sauvegarde les règles actuelles: ${NC}"
    fw_save
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;
   
restore)
    echo ""
    echo "  - ${green}Restaure les règles sauvegardées: ${NC}"
    fw_restore
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;
   
list)
  echo ""
    echo "  - ${blue}Liste des règles de la tables RAW: ${NC}"
    $IPT -t raw -vnL --line-numbers
  echo ""
    echo "  - ${blue}Liste des règles de la tables MANGLE: ${NC}"
    $IPT -t mangle -vnL --line-numbers
  echo ""
    echo "  - ${blue}Liste des règles de la tables NAT: ${NC}"
    $IPT -t nat -vnL --line-numbers
    echo ""
    echo "  - ${blue}Liste des règles de la tables FILTER: ${NC}"
    $IPT -t filter -vnL --line-numbers
  echo "${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;

status)
    echo ""
    echo "  - ${green}Liste les ports actuellements ouverts: ${NC}"
    ss -ant
  echo ""
    ;;  
   
help)
    echo ""
    echo "  - ${green}Rappel : ${NC}"
    sw_help
    echo "\n${greenBgWhiteBold}Fait!${NC} ${OK}"
    echo ""
    ;;
   
*)
    echo "  - ${yellow}Usage: $0 {start|blockAllInput|restart|clear|test|list|status|save|restore|help}${NC}"
    echo "  - ${red}Attention blockAllInput bloque tous trafic entrant/sortant!!!${NC}"
    echo "  - ${red}Attention clear autorise tous trafic entrant/sortant!!!${NC}"
    exit 1
    ;;
esac
exit 0

 

Dernière modification par dudux2 (13-04-2020 12:02:31)


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#28 21-04-2020 06:29:55

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Salut
J’ai des doutes que tout soit dans le bon ordre, je Drop pas mal d’ICMP type 3 surtout a destination du port 53.

Je posterais mes logs ce week-end... car là ce n’ai pas assez complet...

Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#29 24-04-2020 11:55:44

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

- Si j'ai bien compris, le port  67 68 c'est pour la gestion du DHCP, ici de ma connexion 4G, aurais-je un intérêt de les accepter sous certaines condition?
- Sinon pour les lignes en ICMP type 3 et sport 53 est ouvert en entrée, enfin je comprends pas...


-Voici une section du contenu de mon fichier log des packets DROPPER:


Apr 24 11:59:07 dudubox kernel: [  273.948268] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.38.118.145 DST=10.38.118.146 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=30777 DF PROTO=UDP SPT=68 DPT=67 LEN=308
Apr 24 11:59:16 dudubox kernel: [  282.893575] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.38.118.145 DST=62.201.129.202 LEN=136 TOS=0x00 PREC=0xC0 TTL=64 ID=34081 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.38.118.145 LEN=108 TOS=0x00 PREC=0x80 TTL=253 ID=65428 DF PROTO=UDP SPT=53 DPT=49922 LEN=88 ]
Apr 24 12:07:43 dudubox kernel: [  789.875755] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.38.118.145 DST=62.201.129.202 LEN=118 TOS=0x00 PREC=0xC0 TTL=64 ID=63039 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.38.118.145 LEN=90 TOS=0x00 PREC=0x80 TTL=253 ID=33978 DF PROTO=UDP SPT=53 DPT=49359 LEN=70 ]
Apr 24 12:09:34 dudubox kernel: [  899.985202] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.38.118.145 DST=62.201.129.202 LEN=172 TOS=0x00 PREC=0xC0 TTL=64 ID=3672 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.38.118.145 LEN=144 TOS=0x00 PREC=0x80 TTL=253 ID=32383 DF PROTO=UDP SPT=53 DPT=47316 LEN=124 ]


Apr 24 13:05:38 dudubox kernel: [  535.990599] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=146 TOS=0x00 PREC=0xC0 TTL=64 ID=23024 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=118 TOS=0x00 PREC=0x80 TTL=253 ID=4652 DF PROTO=UDP SPT=53 DPT=13529 LEN=98 ]
Apr 24 13:06:01 dudubox kernel: [  558.929923] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.202 LEN=217 TOS=0x00 PREC=0xC0 TTL=64 ID=400 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.220.166.8 LEN=189 TOS=0x00 PREC=0x80 TTL=253 ID=50997 DF PROTO=UDP SPT=53 DPT=63627 LEN=169 ]
Apr 24 13:06:22 dudubox kernel: [  579.852616] ACTION5=DROP-INPUTIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=195.154.81.200 DST=10.220.166.8 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=3224 DF PROTO=TCP SPT=443 DPT=55805 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 24 13:06:48 dudubox kernel: [  605.799036] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=149 TOS=0x00 PREC=0xC0 TTL=64 ID=24705 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=121 TOS=0x00 PREC=0x80 TTL=253 ID=51298 DF PROTO=UDP SPT=53 DPT=54477 LEN=101 ]
Apr 24 13:07:02 dudubox kernel: [  619.944894] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=217 TOS=0x00 PREC=0xC0 TTL=64 ID=25081 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=189 TOS=0x00 PREC=0x80 TTL=253 ID=4455 DF PROTO=UDP SPT=53 DPT=1847 LEN=169 ]
Apr 24 13:07:36 dudubox kernel: [  654.419001] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=149 TOS=0x00 PREC=0xC0 TTL=64 ID=27376 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=121 TOS=0x00 PREC=0x80 TTL=253 ID=6336 DF PROTO=UDP SPT=53 DPT=45683 LEN=101 ]
Apr 24 13:07:40 dudubox kernel: [  658.449944] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=161 TOS=0x00 PREC=0xC0 TTL=64 ID=27620 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=133 TOS=0x00 PREC=0x80 TTL=253 ID=55875 DF PROTO=UDP SPT=53 DPT=23456 LEN=113 ]
Apr 24 13:08:01 dudubox kernel: [  678.876478] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=210 TOS=0x00 PREC=0xC0 TTL=64 ID=28568 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=182 TOS=0x00 PREC=0x80 TTL=253 ID=15021 DF PROTO=UDP SPT=53 DPT=13805 LEN=162 ]
Apr 24 13:08:34 dudubox kernel: [  712.250437] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=315 TOS=0x00 PREC=0xC0 TTL=64 ID=28753 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=287 TOS=0x00 PREC=0x80 TTL=253 ID=17804 DF PROTO=UDP SPT=53 DPT=52419 LEN=267 ]
Apr 24 13:08:37 dudubox kernel: [  715.338093] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.202 LEN=119 TOS=0x00 PREC=0xC0 TTL=64 ID=11200 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.220.166.8 LEN=91 TOS=0x00 PREC=0x80 TTL=253 ID=27990 DF PROTO=UDP SPT=53 DPT=62961 LEN=71 ]
Apr 24 13:08:58 dudubox kernel: [  735.919172] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.202 LEN=111 TOS=0x00 PREC=0xC0 TTL=64 ID=12161 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.220.166.8 LEN=83 TOS=0x00 PREC=0x80 TTL=253 ID=59163 DF PROTO=UDP SPT=53 DPT=26341 LEN=63 ]
Apr 24 13:09:18 dudubox kernel: [  756.311312] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.201 LEN=115 TOS=0x00 PREC=0xC0 TTL=64 ID=31193 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.220.166.8 LEN=87 TOS=0x00 PREC=0x80 TTL=253 ID=47603 DF PROTO=UDP SPT=53 DPT=4112 LEN=67 ]
Apr 24 13:09:44 dudubox kernel: [  781.878379] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=62.201.129.202 LEN=152 TOS=0x00 PREC=0xC0 TTL=64 ID=15169 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.220.166.8 LEN=124 TOS=0x00 PREC=0x80 TTL=253 ID=55270 DF PROTO=UDP SPT=53 DPT=16308 LEN=104 ]
Apr 24 13:09:59 dudubox kernel: [  796.624459] ACTION5=DROP-INPUTIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=176.31.195.20 DST=10.220.166.8 LEN=71 TOS=0x10 PREC=0x40 TTL=253 ID=17596 DF PROTO=TCP SPT=443 DPT=55834 WINDOW=698 RES=0x00 ACK PSH FIN URGP=0
Apr 24 13:10:20 dudubox kernel: [  817.792405] ACTION5=DROP-INPUTIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=176.31.195.20 DST=10.220.166.8 LEN=71 TOS=0x10 PREC=0x40 TTL=253 ID=44519 DF PROTO=TCP SPT=443 DPT=55856 WINDOW=732 RES=0x00 ACK PSH FIN URGP=0
Apr 24 13:10:40 dudubox kernel: [  838.431597] ACTION5=DROP-INPUTIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=143.204.222.46 DST=10.220.166.8 LEN=71 TOS=0x10 PREC=0x40 TTL=253 ID=11557 DF PROTO=TCP SPT=443 DPT=55793 WINDOW=696 RES=0x00 ACK PSH FIN URGP=0
Apr 24 13:11:00 dudubox kernel: [  857.632764] ACTION5=DROP-INPUTIN= OUT=wwan0 SRC=10.220.166.8 DST=52.114.74.44 LEN=80 TOS=0x10 PREC=0xC0 TTL=64 ID=6328 PROTO=ICMP TYPE=3 CODE=1 [SRC=52.114.74.44 DST=192.168.2.198 LEN=52 TOS=0x10 PREC=0x40 TTL=252 ID=52407 DF PROTO=TCP SPT=443 DPT=56013 WINDOW=21280 RES=0x00 ACK SYN URGP=0 ]
Apr 24 13:11:18 dudubox kernel: [  875.775597] ACTION5=DROP-INPUTIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:c6:3b:7e:f2:f2:08:00 SRC=192.168.2.198 DST=104.17.211.204 LEN=163 TOS=0x00 PREC=0x00 TTL=127 ID=6882 DF PROTO=TCP SPT=55922 DPT=443 WINDOW=259 RES=0x00 ACK PSH FIN URGP=0
 




Je suis également surpris de voir des logs de packets dans le fichier DROP-POLICY sachant que Fail2Ban n'est pas installer...


# FAIL2BAN POLICY
$IPT -t filter -A Fail2Ban-SSH -j RETURN
$IPT -t filter -A INPUT -j LOG --log-prefix "ACTION8=DROP-POLICY"
 



Dans mon kernel.log j'ai également ceux-ci: bridge: filtering via arp/ip/ip6tables is no longer available by default. Update your scripts to load br_netfilter if you need this.

Voici le listing de mes règles


  - Liste des règles de la tables RAW:
Chain PREROUTING (policy ACCEPT 37 packets, 12561 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 77 packets, 17110 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain RAW_LOG_N_DROP (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION1=DROP-RAW"
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

  - Liste des règles de la tables MANGLE:
Chain PREROUTING (policy ACCEPT 37 packets, 12561 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
2        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x03/0x03
3        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x06
4        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x05/0x05
5        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x11/0x01
6        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x30/0x20
7        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x18/0x08
8        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F
9        0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
10       0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x29
11       0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x2B
12       0     0 MANGLE_LOG_N_DROP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x37

Chain INPUT (policy ACCEPT 14 packets, 1399 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 23 packets, 11162 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 79 packets, 18274 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 82 packets, 19109 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain MANGLE_LOG_N_DROP (12 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION2=DROP-MANGLE"
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

  - Liste des règles de la tables NAT:
Chain PREROUTING (policy ACCEPT 3 packets, 235 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 3 packets, 235 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       18  1152 LOG_N_MASQ  all  --  *      wwan0   0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 19 packets, 1212 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain LOG_N_MASQ (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        3   180 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION3=MASQ-NAT"
2       18  1152 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0

  - Liste des règles de la tables FILTER:
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG_N_ACCEPT  all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2       11   631 LOG_N_ACCEPT  all  --  br0    *       0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED
3        0     0 STATUS_RELATED  all  --  br0    *       0.0.0.0/0            0.0.0.0/0            state RELATED
4        0     0 LOG_N_ACCEPT  icmp --  br0    *       0.0.0.0/0            0.0.0.0/0            icmptype 0 state ESTABLISHED
5        0     0 STATUS_RELATED  all  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            state RELATED
6        0     0 LOG_N_ACCEPT  icmp --  wwan0  *       0.0.0.0/0            0.0.0.0/0            icmptype 0 state ESTABLISHED
7        6   888 LOG_N_ACCEPT  udp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            udp spt:53 state ESTABLISHED
8        0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:53 state ESTABLISHED
9        0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 state ESTABLISHED
10       0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 state ESTABLISHED
11       0     0 LOG_N_ACCEPT  udp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            udp spt:123 state ESTABLISHED
12       0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:123 state ESTABLISHED
13       0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:587 state ESTABLISHED
14       0     0 LOG_N_ACCEPT  tcp  --  wwan0  *       0.0.0.0/0            0.0.0.0/0            tcp spt:11371 state ESTABLISHED
15       0     0 LOG_N_DROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0
16       0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "ACTION8=DROP-POLICY"

Chain FORWARD (policy DROP 1 packets, 1370 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       11  8811 LOG_N_ACCEPT  all  --  br0    wwan0   0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED
2       10   902 LOG_N_ACCEPT  all  --  wwan0  br0     0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
3        0     0 STATUS_RELATED  all  --  br0    wwan0   0.0.0.0/0            0.0.0.0/0            state RELATED
4        0     0 STATUS_RELATED  all  --  wwan0  br0     0.0.0.0/0            0.0.0.0/0            state RELATED
5        0     0 LOG_N_DROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 16 packets, 9780 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG_N_ACCEPT  all  --  *      lo      0.0.0.0/0            0.0.0.0/0
2       21 15451 LOG_N_ACCEPT  all  --  *      br0     0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED
3        0     0 STATUS_RELATED  all  --  *      br0     0.0.0.0/0            0.0.0.0/0            state RELATED
4        0     0 LOG_N_ACCEPT  icmp --  *      br0     0.0.0.0/0            0.0.0.0/0            icmptype 8 state NEW,ESTABLISHED
5        3   487 STATUS_RELATED  all  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            state RELATED
6        0     0 LOG_N_ACCEPT  icmp --  *      wwan0   0.0.0.0/0            0.0.0.0/0            icmptype 8 state NEW,ESTABLISHED
7        6   468 LOG_N_ACCEPT  udp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            udp dpt:53 state NEW,ESTABLISHED
8        0     0 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:53 state NEW,ESTABLISHED
9       41  2460 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,ESTABLISHED
10       0     0 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW,ESTABLISHED
11       0     0 LOG_N_ACCEPT  udp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            udp dpt:123 state NEW,ESTABLISHED
12       0     0 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:123 state NEW,ESTABLISHED
13       0     0 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:587 state NEW,ESTABLISHED
14       0     0 LOG_N_ACCEPT  tcp  --  *      wwan0   0.0.0.0/0            0.0.0.0/0            tcp dpt:11371 state NEW,ESTABLISHED
15       3   487 LOG_N_DROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LOG_N_ACCEPT (26 references)
num   pkts bytes target     prot opt in     out     source               destination
1        3   199 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION4=ACCEPT-INPUT"
2      102 25255 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LOG_N_DROP (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        3   487 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION5=DROP-INPUT"
2        3   487 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LOG_N_REJECT (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION6=REJECT-INPUT"
2        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain STATUS_RELATED (6 references)
num   pkts bytes target     prot opt in     out     source               destination
1        3   487 LOG_ACCEPT_ICMP  icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
2        0     0 LOG_ACCEPT_ICMP  icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
3        0     0 LOG_ACCEPT_ICMP  icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12

Chain LOG_ACCEPT_ICMP (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        3   487 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 3 LOG flags 0 level 4 prefix "ACTION7=ACCEPT-ICMP"

Chain Fail2Ban-SSH (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0
Fait! [OK]

 

Dernière modification par dudux2 (24-04-2020 12:28:14)


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#30 25-04-2020 14:28:23

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Je pense que c'est lié à mon wifi qui n'est pas très stable, je vais travaillé sur ma carte wifi, car j'ai beaucoup de perte de connexion et un débit très faibles, donc je suppose que mes blocage sont lié à cela.
Du côté réseau câblé, je n'ai pas de DROP comme cela.

Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#31 25-04-2020 15:20:38

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

dudux2 a écrit :

- Si j'ai bien compris, le port  67 68 c'est pour la gestion du DHCP, ici de ma connexion 4G, aurais-je un intérêt de les accepter sous certaines condition?


On oublie souvent d'autoriser le DHCP, mais ce n'est pas gênant : les clients DHCP comme dhclient communiquent directement avec l'interface réseau sans passer par la couche IP et donc sans passer par iptables.

dudux2 a écrit :

je Drop pas mal d’ICMP type 3 surtout a destination du port 53.


Non, les paquets ICMP n'ont pas de port. Le port qu'on voit, c'est celui du paquet UDP (réponse DNS) qui a provoqué l'émission du paquet ICMP.

Il doit y avoir un souci dans tes règles car les paquets marqués "ACTION5=DROP-INPUT" sont en fait des paquets sortants.

Je ne regarde pas la sortie d'iptables -L. Trop pénible. iptables-save.


Il vaut mieux montrer que raconter.

Hors ligne

#32 25-04-2020 20:06:28

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Voici mes règles avec la correction du nom du fichier, en DROP-FILTER


# Generated by xtables-save v1.8.2 on Sat Apr 25 21:03:16 2020
*mangle
:PREROUTING ACCEPT [104:9635]
:INPUT ACCEPT [67:4510]
:FORWARD ACCEPT [35:3757]
:OUTPUT ACCEPT [423:60319]
:POSTROUTING ACCEPT [422:45786]
:MANGLE_LOG_N_DROP - [0:0]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j MANGLE_LOG_N_DROP
-A MANGLE_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION2=DROP-MANGLE"
-A MANGLE_LOG_N_DROP -j DROP
COMMIT
# Completed on Sat Apr 25 21:03:16 2020
# Generated by xtables-save v1.8.2 on Sat Apr 25 21:03:16 2020
*raw
:PREROUTING ACCEPT [105:9675]
:OUTPUT ACCEPT [427:60559]
:RAW_LOG_N_DROP - [0:0]
-A RAW_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION1=DROP-RAW"
-A RAW_LOG_N_DROP -j DROP
COMMIT
# Completed on Sat Apr 25 21:03:16 2020
# Generated by xtables-save v1.8.2 on Sat Apr 25 21:03:16 2020
*nat
:PREROUTING ACCEPT [25:2734]
:INPUT ACCEPT [4:522]
:POSTROUTING ACCEPT [1:328]
:OUTPUT ACCEPT [97:6182]
:LOG_N_MASQ - [0:0]
-A POSTROUTING -o wwan0 -j LOG_N_MASQ
-A LOG_N_MASQ -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION3=MASQ-NAT"
-A LOG_N_MASQ -j MASQUERADE
COMMIT
# Completed on Sat Apr 25 21:03:16 2020
# Generated by xtables-save v1.8.2 on Sat Apr 25 21:03:16 2020
*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:44]
:OUTPUT DROP [37:18366]
:LOG_N_ACCEPT - [0:0]
:LOG_N_DROP - [0:0]
:LOG_N_REJECT - [0:0]
:STATUS_RELATED - [0:0]
:LOG_ACCEPT_ICMP - [0:0]
:Fail2Ban-SSH - [0:0]
-A INPUT -i lo -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i br0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i wwan0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 587 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 11371 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i br0 -o wwan0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i wwan0 -o br0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i br0 -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A FORWARD -i wwan0 -o br0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o lo -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o br0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o wwan0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 587 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 11371 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A LOG_N_ACCEPT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION4=ACCEPT-FILTER"
-A LOG_N_ACCEPT -j ACCEPT
-A LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION5=DROP-FILTER"
-A LOG_N_DROP -j DROP
-A LOG_N_REJECT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION6=REJECT-FILTER"
-A LOG_N_REJECT -j REJECT --reject-with icmp-port-unreachable
-A STATUS_RELATED -p icmp -m icmp --icmp-type 3 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 11 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 12 -j LOG_ACCEPT_ICMP
-A LOG_ACCEPT_ICMP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION7=ACCEPT-ICMP"
COMMIT
# Completed on Sat Apr 25 21:03:16 2020


 


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#33 26-04-2020 10:48:53

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Bizarre, il manque toutes les règles qui appellent les LOG_N_DROP en fin de chaînes. Pourtant on les voit dans la sortie d'iptables -L.

dudux2 a écrit :

Dans mon kernel.log j'ai également ceux-ci: bridge: filtering via arp/ip/ip6tables is no longer available by default. Update your scripts to load br_netfilter if you need this.


Ce message est émis au chargement du module bridge pour avertir d'un changement (effectif depuis le noyau de Stretch). Le filtrage par iptables des paquets traversant un pont n'est plus activé par défaut, il faut charger le nouveau module br_netfilter si on en a besoin. Et c'est très bien ainsi, iptables traite les ponts comme des interfaces normales sans s'occuper de leurs ports. Sinon, il peut y avoir des effets de bords un peu imprévus.


Il vaut mieux montrer que raconter.

Hors ligne

#34 26-04-2020 11:11:53

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Oui en effet, j'ai tout recharger et on voit bien les DROP.


# Generated by xtables-save v1.8.2 on Sun Apr 26 11:58:26 2020
*mangle
:PREROUTING ACCEPT [312:81272]
:INPUT ACCEPT [66:4546]
:FORWARD ACCEPT [205:63295]
:OUTPUT ACCEPT [520:67328]
:POSTROUTING ACCEPT [697:112439]
:MANGLE_LOG_N_DROP - [0:0]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j MANGLE_LOG_N_DROP
-A MANGLE_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION2=DROP-MANGLE"
-A MANGLE_LOG_N_DROP -j DROP
COMMIT
# Completed on Sun Apr 26 11:58:26 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 11:58:26 2020
*raw
:PREROUTING ACCEPT [312:81272]
:OUTPUT ACCEPT [523:67508]
:RAW_LOG_N_DROP - [0:0]
-A RAW_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION1=DROP-RAW"
-A RAW_LOG_N_DROP -j DROP
COMMIT
# Completed on Sun Apr 26 11:58:26 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 11:58:26 2020
*nat
:PREROUTING ACCEPT [73:15275]
:INPUT ACCEPT [6:632]
:POSTROUTING ACCEPT [2:418]
:OUTPUT ACCEPT [96:6076]
:LOG_N_MASQ - [0:0]
-A POSTROUTING -o wwan0 -j LOG_N_MASQ
-A LOG_N_MASQ -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION3=MASQ-NAT"
-A LOG_N_MASQ -j MASQUERADE
COMMIT
# Completed on Sun Apr 26 11:58:26 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 11:58:26 2020
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [25:18004]
:LOG_N_ACCEPT - [0:0]
:LOG_N_DROP - [0:0]
:LOG_N_REJECT - [0:0]
:STATUS_RELATED - [0:0]
:LOG_ACCEPT_ICMP - [0:0]
:Fail2Ban-SSH - [0:0]
-A INPUT -i lo -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i br0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i wwan0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 587 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 11371 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -j LOG_N_DROP
-A FORWARD -i br0 -o wwan0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i wwan0 -o br0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i br0 -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A FORWARD -i wwan0 -o br0 -m state --state RELATED -j STATUS_RELATED
-A FORWARD -j LOG_N_DROP
-A OUTPUT -o lo -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o br0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o wwan0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 587 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 11371 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -j LOG_N_DROP
-A LOG_N_ACCEPT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION4=ACCEPT-FILTER"
-A LOG_N_ACCEPT -j ACCEPT
-A LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION5=DROP-FILTER"
-A LOG_N_DROP -j DROP
-A LOG_N_REJECT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION6=REJECT-FILTER"
-A LOG_N_REJECT -j REJECT --reject-with icmp-port-unreachable
-A STATUS_RELATED -p icmp -m icmp --icmp-type 3 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 11 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 12 -j LOG_ACCEPT_ICMP
-A LOG_ACCEPT_ICMP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION7=ACCEPT-ICMP"
COMMIT
# Completed on Sun Apr 26 11:58:26 2020

 




et des logs tout frais:


Apr 26 11:58:53 dudubox kernel: [53483.137973] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=118 TOS=0x00 PREC=0xC0 TTL=64 ID=1965 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=90 TOS=0x00 PREC=0x80 TTL=253 ID=56976 DF PROTO=UDP SPT=53 DPT=27355 LEN=70 ]
Apr 26 11:59:48 dudubox kernel: [53537.858146] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=106 TOS=0x00 PREC=0xC0 TTL=64 ID=4896 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=78 TOS=0x00 PREC=0x80 TTL=253 ID=48016 DF PROTO=UDP SPT=53 DPT=16309 LEN=58 ]
Apr 26 12:00:19 dudubox kernel: [53569.140267] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=154 TOS=0x00 PREC=0xC0 TTL=64 ID=5415 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=126 TOS=0x00 PREC=0x80 TTL=253 ID=33576 DF PROTO=UDP SPT=53 DPT=6607 LEN=106 ]
Apr 26 12:00:45 dudubox kernel: [53594.660377] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=195 TOS=0x00 PREC=0xC0 TTL=64 ID=7588 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=167 TOS=0x00 PREC=0x80 TTL=253 ID=61110 DF PROTO=UDP SPT=53 DPT=26553 LEN=147 ]
Apr 26 12:00:45 dudubox kernel: [53594.669384] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.202 LEN=195 TOS=0x00 PREC=0xC0 TTL=64 ID=50989 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.228.41.172 LEN=167 TOS=0x00 PREC=0x80 TTL=253 ID=61175 DF PROTO=UDP SPT=53 DPT=26553 LEN=147 ]
Apr 26 12:00:56 dudubox kernel: [53605.389488] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=107 TOS=0x00 PREC=0xC0 TTL=64 ID=8526 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=79 TOS=0x00 PREC=0x80 TTL=253 ID=13249 DF PROTO=UDP SPT=53 DPT=9236 LEN=59 ]
Apr 26 12:01:42 dudubox kernel: [53651.722008] ACTION5=DROP-FILTERIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=23.23.237.63 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14860 DF PROTO=TCP SPT=53798 DPT=443 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 12:02:39 dudubox kernel: [53708.748925] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.202 LEN=195 TOS=0x00 PREC=0xC0 TTL=64 ID=60644 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.228.41.172 LEN=167 TOS=0x00 PREC=0x80 TTL=253 ID=2109 DF PROTO=UDP SPT=53 DPT=48286 LEN=147 ]
Apr 26 12:02:39 dudubox kernel: [53708.749074] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=195 TOS=0x00 PREC=0xC0 TTL=64 ID=15159 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=167 TOS=0x00 PREC=0x80 TTL=253 ID=2108 DF PROTO=UDP SPT=53 DPT=48286 LEN=147 ]
Apr 26 12:02:39 dudubox kernel: [53708.749218] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=195 TOS=0x00 PREC=0xC0 TTL=64 ID=15160 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=167 TOS=0x00 PREC=0x80 TTL=253 ID=2110 DF PROTO=UDP SPT=53 DPT=48286 LEN=147 ]
Apr 26 12:03:03 dudubox kernel: [53733.080756] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=248 TOS=0x00 PREC=0xC0 TTL=64 ID=17158 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=220 TOS=0x00 PREC=0x80 TTL=253 ID=59721 DF PROTO=UDP SPT=53 DPT=56812 LEN=200 ]
Apr 26 12:03:54 dudubox kernel: [53783.160915] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=118 TOS=0x00 PREC=0xC0 TTL=64 ID=20602 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=90 TOS=0x00 PREC=0x80 TTL=253 ID=51270 DF PROTO=UDP SPT=53 DPT=28084 LEN=70 ]
Apr 26 12:04:14 dudubox kernel: [53803.329079] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=106 TOS=0x00 PREC=0xC0 TTL=64 ID=20655 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=78 TOS=0x00 PREC=0x80 TTL=253 ID=24949 DF PROTO=UDP SPT=53 DPT=17650 LEN=58 ]
Apr 26 12:04:26 dudubox kernel: [53815.564219] ACTION5=DROP-FILTERIN=br0 OUT= MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=192.168.2.254 LEN=147 TOS=0x00 PREC=0x00 TTL=128 ID=16307 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.2.254 DST=192.168.2.35 LEN=119 TOS=0x00 PREC=0x00 TTL=64 ID=42084 DF PROTO=UDP SPT=53 DPT=53072 LEN=99 ]
Apr 26 12:04:28 dudubox kernel: [53817.566066] ACTION5=DROP-FILTERIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=13.225.31.53 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=16785 DF PROTO=TCP SPT=53923 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Apr 26 12:04:51 dudubox kernel: [53840.628109] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=89.84.1.226 DST=10.228.41.172 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=43272 DF PROTO=TCP SPT=443 DPT=53964 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 12:05:00 dudubox kernel: [53849.457313] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=217 TOS=0x00 PREC=0xC0 TTL=64 ID=23977 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=189 TOS=0x00 PREC=0x80 TTL=253 ID=12819 DF PROTO=UDP SPT=53 DPT=54082 LEN=169 ]
Apr 26 12:05:54 dudubox kernel: [53903.487712] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=133 TOS=0x10 PREC=0xC0 TTL=64 ID=50296 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=105 TOS=0x10 PREC=0x40 TTL=50 ID=35087 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH URGP=0 ]
Apr 26 12:06:05 dudubox kernel: [53914.207383] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=133 TOS=0x10 PREC=0xC0 TTL=64 ID=50864 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=105 TOS=0x10 PREC=0x40 TTL=50 ID=35088 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH URGP=0 ]
Apr 26 12:06:12 dudubox kernel: [53921.462343] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=107 TOS=0x00 PREC=0xC0 TTL=64 ID=26915 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=79 TOS=0x00 PREC=0x80 TTL=253 ID=50562 DF PROTO=UDP SPT=53 DPT=35267 LEN=59 ]
Apr 26 12:06:26 dudubox kernel: [53935.647228] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=133 TOS=0x10 PREC=0xC0 TTL=64 ID=51005 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=105 TOS=0x10 PREC=0x40 TTL=50 ID=35089 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH URGP=0 ]
Apr 26 12:07:09 dudubox kernel: [53978.446635] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=133 TOS=0x10 PREC=0xC0 TTL=64 ID=54436 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=105 TOS=0x10 PREC=0x40 TTL=49 ID=35090 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH URGP=0 ]
Apr 26 12:07:18 dudubox kernel: [53987.881406] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=179.60.192.7 DST=10.228.41.172 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=47044 DF PROTO=TCP SPT=443 DPT=53913 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 12:07:19 dudubox kernel: [53988.769766] ACTION5=DROP-FILTERIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=179.60.192.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=6706 DF PROTO=TCP SPT=53930 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Apr 26 12:08:34 dudubox kernel: [54064.045884] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=133 TOS=0x10 PREC=0xC0 TTL=64 ID=58819 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=105 TOS=0x10 PREC=0x40 TTL=49 ID=35091 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH URGP=0 ]
Apr 26 12:08:53 dudubox kernel: [54083.139949] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=118 TOS=0x00 PREC=0xC0 TTL=64 ID=38786 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=90 TOS=0x00 PREC=0x80 TTL=253 ID=3877 DF PROTO=UDP SPT=53 DPT=18937 LEN=70 ]
Apr 26 12:08:54 dudubox kernel: [54083.164901] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.202 LEN=118 TOS=0x00 PREC=0xC0 TTL=64 ID=60925 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.202 DST=10.228.41.172 LEN=90 TOS=0x00 PREC=0x80 TTL=253 ID=4190 DF PROTO=UDP SPT=53 DPT=18937 LEN=70 ]
Apr 26 12:08:55 dudubox kernel: [54085.095501] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=17.57.146.52 LEN=576 TOS=0x10 PREC=0xC0 TTL=64 ID=59091 PROTO=ICMP TYPE=3 CODE=1 [SRC=17.57.146.52 DST=192.168.2.139 LEN=632 TOS=0x10 PREC=0x40 TTL=49 ID=35092 DF PROTO=TCP SPT=5223 DPT=51321 WINDOW=342 RES=0x00 ACK PSH FIN URGP=0 ]
Apr 26 12:09:26 dudubox kernel: [54115.691180] ACTION5=DROP-FILTERIN= OUT=wwan0 SRC=10.228.41.172 DST=62.201.129.201 LEN=219 TOS=0x00 PREC=0xC0 TTL=64 ID=38857 PROTO=ICMP TYPE=3 CODE=3 [SRC=62.201.129.201 DST=10.228.41.172 LEN=191 TOS=0x00 PREC=0x80 TTL=253 ID=33661 DF PROTO=UDP SPT=53 DPT=17940 LEN=171 ]

 


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#35 26-04-2020 11:22:46

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Il ne manquerait pas une règle ACCEPT à la fin de la chaîne LOG_ACCEPT_ICMP ?

Il vaut mieux montrer que raconter.

Hors ligne

#36 26-04-2020 13:30:31

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Ohhhh, mais pourquoi cela me saute pas aux yeux kernal_panic.gif

Merci raleur.


# Generated by xtables-save v1.8.2 on Sun Apr 26 13:13:27 2020
*mangle
:PREROUTING ACCEPT [1132:461364]
:INPUT ACCEPT [184:20714]
:FORWARD ACCEPT [912:436436]
:OUTPUT ACCEPT [1145:131531]
:POSTROUTING ACCEPT [2018:531923]
:MANGLE_LOG_N_DROP - [0:0]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j MANGLE_LOG_N_DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j MANGLE_LOG_N_DROP
-A MANGLE_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION2=DROP-MANGLE"
-A MANGLE_LOG_N_DROP -j DROP
COMMIT
# Completed on Sun Apr 26 13:13:27 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 13:13:27 2020
*raw
:PREROUTING ACCEPT [1134:461504]
:OUTPUT ACCEPT [1153:132011]
:RAW_LOG_N_DROP - [0:0]
-A RAW_LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION1=DROP-RAW"
-A RAW_LOG_N_DROP -j DROP
COMMIT
# Completed on Sun Apr 26 13:13:27 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 13:13:27 2020
*nat
:PREROUTING ACCEPT [135:10355]
:INPUT ACCEPT [46:3681]
:POSTROUTING ACCEPT [1:328]
:OUTPUT ACCEPT [267:16772]
:LOG_N_MASQ - [0:0]
-A POSTROUTING -o wwan0 -j LOG_N_MASQ
-A LOG_N_MASQ -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION3=MASQ-NAT"
-A LOG_N_MASQ -j MASQUERADE
COMMIT
# Completed on Sun Apr 26 13:13:27 2020
# Generated by xtables-save v1.8.2 on Sun Apr 26 13:13:27 2020
*filter
:INPUT DROP [4:306]
:FORWARD DROP [0:0]
:OUTPUT DROP [39:36052]
:LOG_N_ACCEPT - [0:0]
:LOG_N_DROP - [0:0]
:LOG_N_REJECT - [0:0]
:STATUS_RELATED - [0:0]
:LOG_ACCEPT_ICMP - [0:0]
:Fail2Ban-SSH - [0:0]
-A INPUT -i lo -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i br0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i br0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -m state --state RELATED -j STATUS_RELATED
-A INPUT -i wwan0 -p icmp -m icmp --icmp-type 0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p udp -m udp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 123 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 587 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -i wwan0 -p tcp -m tcp --sport 11371 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A INPUT -j LOG_N_DROP
-A FORWARD -i br0 -o wwan0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i wwan0 -o br0 -m state --state ESTABLISHED -j LOG_N_ACCEPT
-A FORWARD -i br0 -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A FORWARD -i wwan0 -o br0 -m state --state RELATED -j STATUS_RELATED
-A FORWARD -j LOG_N_DROP
-A OUTPUT -o lo -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o br0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o br0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -m state --state RELATED -j STATUS_RELATED
-A OUTPUT -o wwan0 -p icmp -m icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p udp -m udp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 123 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 587 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -o wwan0 -p tcp -m tcp --dport 11371 -m state --state NEW,ESTABLISHED -j LOG_N_ACCEPT
-A OUTPUT -j LOG_N_DROP
-A LOG_N_ACCEPT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION4=ACCEPT-FILTER"
-A LOG_N_ACCEPT -j ACCEPT
-A LOG_N_DROP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION5=DROP-FILTER"
-A LOG_N_DROP -j DROP
-A LOG_N_REJECT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION6=REJECT-FILTER"
-A LOG_N_REJECT -j REJECT --reject-with icmp-port-unreachable
-A STATUS_RELATED -p icmp -m icmp --icmp-type 3 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 11 -j LOG_ACCEPT_ICMP
-A STATUS_RELATED -p icmp -m icmp --icmp-type 12 -j LOG_ACCEPT_ICMP
-A LOG_ACCEPT_ICMP -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ACTION7=ACCEPT-ICMP"
-A LOG_ACCEPT_ICMP -j ACCEPT
COMMIT
# Completed on Sun Apr 26 13:13:27 2020
 




Eh bien mon wifi fonctionne beaucoup mieux maintenant, mais j'ai toujours des DROP, c'est pas impossible que le problème provienne de déconnection de ma carte wifi, c'est mieux mais ce n'est pas encore assez stable...

Lorsque je fais un test de débit depuis un pc sur mon réseau local en wifi, via speedtest, je vois bien qu'il bloque en fin des 3 tests (il marque "fermeture" et c'est long)
voici ce que j'ai en DROP:


Apr 26 13:20:28 dudubox kernel: [ 1530.857356] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=89.84.1.226 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=4674 DF PROTO=TCP SPT=443 DPT=54935 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 13:20:28 dudubox kernel: [ 1530.857462] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=89.84.1.226 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=4675 DF PROTO=TCP SPT=443 DPT=54932 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 13:20:28 dudubox kernel: [ 1530.862486] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=89.84.1.226 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=4773 DF PROTO=TCP SPT=443 DPT=54932 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 13:21:17 dudubox kernel: [ 1579.211989] ACTION5=DROP-FILTERIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=89.84.1.226 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=17284 DF PROTO=TCP SPT=54947 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Apr 26 13:21:17 dudubox kernel: [ 1579.239626] ACTION5=DROP-FILTERIN=br0 OUT=wwan0 MAC=00:e0:4c:25:0e:3c:74:29:af:7b:9c:4d:08:00 SRC=192.168.2.35 DST=89.84.1.226 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=17285 DF PROTO=TCP SPT=54947 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Apr 26 13:21:33 dudubox kernel: [ 1595.079547] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=89.84.1.226 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=29308 DF PROTO=TCP SPT=443 DPT=54951 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 13:22:06 dudubox kernel: [ 1628.743484] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=95.101.149.193 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=60615 DF PROTO=TCP SPT=443 DPT=51920 WINDOW=0 RES=0x00 ACK RST URGP=0
Apr 26 13:22:09 dudubox kernel: [ 1631.506489] ACTION5=DROP-FILTERIN=wwan0 OUT= MAC=00:1e:10:1f:00:00:4c:54:99:45:e5:d5:08:00 SRC=95.101.149.193 DST=10.139.204.41 LEN=40 TOS=0x10 PREC=0x40 TTL=253 ID=62259 DF PROTO=TCP SPT=443 DPT=51928 WINDOW=0 RES=0x00 ACK RST URGP=0

 




Je ne vois pas les raisons de ces blocages.


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#37 26-04-2020 14:37:11

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

dudux2 a écrit :

mon wifi fonctionne beaucoup mieux maintenant


Tu pourras dire ça aux paranoïaques ignorants qui bloquent tous les paquets ICMP à grands cris "ICMP c'est le mal !".

dudux2 a écrit :

voici ce que j'ai en DROP


Ce sont tous des paquets TCP de connexions HTTPS ayant le drapeau RST (reset). Ce type de paquet est émis en réponse à un paquet TCP reçu pour signaler à l'émetteur de ce dernier que la connexion TCP correspondante n'existe pas ou plus ou que le port destination est fermé. Ce n'est pas une demande de fermeture normale de la connexion TCP qui utilise le drapeau FIN. Le suivi de connexion utilisé par iptables les classe dans l'état INVALID s'il ne connaît aucune connexion correspondante, ou si celle-ci a été considérée comme terminée et oubliée, ou si les numéros de séquence ne correspondent pas.


Il vaut mieux montrer que raconter.

Hors ligne

#38 26-04-2020 15:13:44

dudux2
Membre
Distrib. : Rasbian
Noyau : Buster 4.19
(G)UI : Pas de gestionnaire de fenêtre
Inscription : 21-01-2017

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

Ok très bien.
Je vais comparé mes essais avec le réseau filaire, j'ai peut être une connexion wifi instable, qui empêcherait le bon cheminement des paquets.
Affaire à suivre.

Et sinon tu aurais une idées du pourquoi je DROP avec cette règle, sachant que FAIL2BAN n'est pas installer?


# FAIL2BAN POLICY
$IPT -t filter -A Fail2Ban-SSH -j RETURN
$IPT -t filter -A INPUT -j LOG --log-prefix "ACTION8=DROP-POLICY"
 


Petit projet d’une box internet 4G avec un rpi3b+

Hors ligne

#39 26-04-2020 15:48:52

raleur
Membre
Inscription : 03-10-2014

Re : Paramétrage sysctl.con/d'iptables pour une Box 4G avec un Raspberry

La seconde règle n'a aucun rapport avec fail2ban et ne DROP rien. Elle s'applique à tous les paquets qui traversent la chaîne filter/INPUT et arrivent jusqu'à elle.

Dernière modification par raleur (26-04-2020 15:49:17)


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums