/etc/rc.d/rc.firewall "capricieux"

par **KasparoV** » 19 Mars 2004 01:11

voici mes rules pour n'autoriser que 6 services à accéder au RED, mais "étrangement" seuls mes mails peuvent être relevés (envoi impossible) dans ce cas de figure, le reste n'accède pas. des recherches sur le site ne me donnent que la solution d'Antolien dont je me suis trééééés fortement inspirée <IMG SRC="images/smiles/icon_biggrin.gif"> # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,445,222,110,25,21, -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP #/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT #/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT par ailleurs, si je veux laisser passer d'autres services comme NAV LiveUpdate ou MSN, ont-ils des ports de communications connues ou faut-il que je les recense avec netstat par exemple ou pire leur ports de connexion sont aléatoires? bonne nuit à tous <IMG SRC="images/smiles/icon_biggrin.gif">

par **grome** » 19 Mars 2004 01:20

Il me semble avoir lu dans la KB microsoft que pour msn c'est aléatoire.

par **Franck78** » 19 Mars 2004 01:26

il y un truc completement faux dans tout ca iptable fonctionne en mémorisant les états connexions iptables -A INPUT -m state --state INVALID -J DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -J ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -J ACCEPT ca ce traduit par "accepter les NOUVELLES connexions SSH(22) et creer une entrée dans la table (pour ESTABLISHED,RELATED) une regle part port !! a la limite --dport 22:25 pour 22,23,24,25

par **KasparoV** » 19 Mars 2004 20:04

une regle part port ? il me semble que -m multiport permet de spécifier plusieurs ports à matcher, non? De plus, je ne comprends pas le rapport entre tes lignes et ce que je tente de faire avec : /sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,445,222,110,25,21, -j ACCEPT peux-tu être plus explicite s-t-p bonsoir à tous <IMG SRC="images/smiles/icon_biggrin.gif"> ps: quelqu'un peut-il confirmer ce qu'a dit grome (que je salue au passage <IMG SRC="images/smiles/icon_wink.gif"> )

par **Franck78** » 19 Mars 2004 20:24

En squizant l'étape -state NEW, tu empèches simplement iptables de creer des connexions dans ses tables.

par **Fredish** » 19 Mars 2004 20:32

Pour discuter sur msn, c'est le port distant tcp 1863. Mais il y en a une fiolée d'autres pour le reste; 6890 à 6901, je crois pour l'envoi de fichiers; d'autres pour la video. A verifier.

par **antolien** » 19 Mars 2004 20:48

ça ne vous choque pas le port 445 ?? Je ne comprend pas pourquoi il y a un débat sur le state ... Et pas une règle par port, en effet le module multiport permet d'effectuer une seul règle pour plusieurs port. C'est le port 443(https) qu'il faut autoriser plutôt en sortie, d'ailleurs msn utilise ce port pour l'authentification. Autrement, le 1863 n'est pas obligatoire, il sait très bien passer par le 80.

par **Franck78** » 19 Mars 2004 20:59

Il n'y a rien qui t'empèches d'utiliser iptables comme ipchains. Chacun voit midi à sa porte. Relisez la doc en vous concentrant sur NEW, RELATED, ESTABLISHED Evidement ca ne marche que pour un protocole orienté connexion comme tcp. Exit UDP et ICMP. J'ai pas encore vue la syntaxe multiport+state Bye

par **antolien** » 19 Mars 2004 21:01

Je connais le suivi de connexion d'iptables, mais je ne comprend pas pourquoi tu parles de ça !! <IMG SRC="images/smiles/icon_confused.gif">

par **Fredish** » 19 Mars 2004 21:08

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-19 19:48, antolien a écrit: Autrement, le 1863 n'est pas obligatoire, il sait très bien passer par le 80. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Chez moi, ca marche pas, je crois bien par le port 80. Enfin, bon, tant mieux, si ca marche, ca limite les sorties.

par **Franck78** » 19 Mars 2004 21:18

A la base le script qui ne fonctionne pas bien est: # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,445,222,110,25,21, -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP #/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT #/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT Si tu regardes bien, il n'y a pas de "début" de connexions (state NEW). Ca marche surement pour 80,110,... mais pas pour 21 qui essaiera d'ouvrir la connexions DATA. Pour ça, iptables fournit le state RELATED. Qui simplifie TOUT. Là, si tu veux du ftp,... Donc pour moi à la base ce script est faux.

par **antolien** » 19 Mars 2004 21:26

J'avais pas vu que les lignes étaient commentées. Mais de toute façon, les règles de suivi de connexion ne sont pas spécifiées ici, et donc il n'y a pas besoin de préciser le --state à cet endroit pour les règles de forward. Enfin je parle pour la 1.3, si je me souvient bien le NEW, RELATED et ESTABLISHED sont en accept pour le forward. Si les port de destination sont bloqués en forward, le suivi de connection peut être en accept.

par **Franck78** » 19 Mars 2004 21:49

Quand bien même il n'y aurait pas de commentaire, ca ne marche pas. La logique de iptables c'est: -controle divers ip / flags / flood /nat/ .... -s'agit-il d'un paquet appartenant a une connexion en cours (RELATED,ESTABLISHED):oui ACCEPT -ce port est-il autorisé ? oui NEW connection - LOG - DROP

par **micjack** » 19 Mars 2004 22:23

Je n'utilise pas MSN, mais pourquoi ne pas utiliser un proxy socks4/5 pour ce genre d'appli client ?

par **KasparoV** » 19 Mars 2004 22:47

comme le dit antolien, je pensais que les règles de suivi de connexion suivantes suffisaient : # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT il manque peut-être NEW? _________________ P200MMX -1Go - 64Mo-Cartes Realteck 8139 & 3Com Interlink III-modem ethernet Dlink 300G+ -IPCop 1.4 - Free 1024

/etc/rc.d/rc.firewall "capricieux"

Qui est en ligne ?