[RESOLU] Deny port avec iptables.

[Muzo]

Bonjour,

J'utilises donc SME, sur laquelle il existe une contrib qui permet de "deny" un ou plusieurs ports. Moi, je veux fermer un port : 6666.

Voici ce que cela me donne dans le script iptables de ma SME via l'interface d'administration :

Code: Tout sélectionner

/sbin/iptables --append FORWARD -s X.X.X.X/255.255.255.0 -d 0.0.0.0/0 -p tcp --dport 6666 --jump DROP

X.X.X.X : c'est mon adressage ip de mon réseau (de type 162.168.0.0).

Personnellement j'aurais plutôt fait comme dans le Guide de Survie Iptable/Netfilter :

Code: Tout sélectionner

iptables -A INPUT -p tcp --dport 6666 -j deny

Est ce que cela vous semble juste?
C'est quoi-t-y le mieux?

[edit] A mon avis j'ai pas pigé la fonctionnalité du premier script. [/edit]

[antolien]

Bonjour,

C'est clairement la première ligne qui est la mieux.

1er script :

--append FORWARD -> ajoute une règle dans la chaine forward (et donc celle qui transmet les paquets d'une interface à une autre)

-s X.X.X.X/255.255.255.0 -d 0.0.0.0/0 -p tcp --dport 6666 --jump DROP -> source =ton lan, destination =tout et port 6666 en tcp, -j DROP = Poubelle.

Ensuite le deuxième script:

-A INPUT -> ajoute une règle dans la chaine input (et donc celle qui transmet les paquets en entrée sur l'interface)

-p tcp --dport 6666 -j deny ( euh, deny c'est sous ipchains . sous iptables c'est REJECT)

Donc, soit tu bloque l'irc en renvoi vers le net (1er script); soit tu bloque le syn en entrée sur le firewall que le client à comme passerelle(2ème script). Il est clair que la permière règle est largement mieux adaptée.

Je vois de loin un habitué d'ipchains

Par contre il manque pas mal de choses dans tout ça, ne connaissant pas les scripts en amont et aval c'est juste une suggestion; il manque tout de même l'interface d'entrée , de sortie, et le flag tcp.

[Muzo]

Attention, Mode Newbie On. Mode Confus On.

C'est clairement la première ligne qui est la mieux.

1er script :

--append FORWARD -> ajoute une règle dans la chaine forward (et donc celle qui transmet les paquets d'une interface à une autre)

-s X.X.X.X/255.255.255.0 -d 0.0.0.0/0 -p tcp --dport 6666 --jump DROP -> source =ton lan, destination =tout et port 6666 en tcp, -j DROP = Poubelle.

Ensuite le deuxième script:

-A INPUT -> ajoute une règle dans la chaine input (et donc celle qui transmet les paquets en entrée sur l'interface)

-p tcp --dport 6666 -j deny ( euh, deny c'est sous ipchains . sous iptables c'est REJECT)

Donc, soit tu bloque l'irc en renvoi vers le net (1er script); soit tu bloque le syn en entrée sur le firewall que le client à comme passerelle(2ème script). Il est clair que la permière règle est largement mieux adaptée.

Donc si j'ai bien compris le premier bloque la transmission de mon interface lan vers internet.
Mais alors, mon port n'est pas bloquer de l'internet vers le lan ?

Ai-je bien compris en disant : Le premier script bloque les sorties, le deuxième les entrées?

Je vois de loin un habitué d'ipchains

Je ne connais pas ipchains. Je débute avec iptables (encore et encore).

Par contre il manque pas mal de choses dans tout ça, ne connaissant pas les scripts en amont et aval c'est juste une suggestion; il manque tout de même l'interface d'entrée , de sortie, et le flag tcp.

Ok, donc il vaudrait mieux faire (exemple eth0=internet, eth1=lan):
--append FORWARD -i eth0 -o eth1 -s X.X.X.X/255.255.255.0 -d 0.0.0.0/0 -p tcp --dport 6666

Sauf si cela à déjà été ajouter à la chaine FORWARD.

Mais le flag tcp à quoi sert-il?

[tomtom]

Muzo, tu devrais faire un tour sur le site de notre ami Christian Caleca.


Il faut savoir que avec netfilter, les règles sont évaluées dans l'ordre, et qu'il est difficile d'en analyser une comme ça sans le contexte.

Néanmoins, et bien que ne connaissant pas la SME, j'imagine que les choses sont faites de la manière suivante :

Par défaut, tout est bvloqué de la partie lan vers le web (probablement à l'aide d'une policy sur la table forward).
Ensuite, il est possible de renverser ce mecanisme, en autorisant par exemple tout ce qui provient du lan (-s xxx.xxx.xxx.xxxx/255.255.255.0) à sortir.
La contrib que tu cites bloque à mon avis un port en particulier dans le sens LAN -> WEB; Il faut bien avoir en tete qu'il ne sert à rien de bloquer dans le sens WEB -> LAN, car tout est bvloqué par defaut, sauf les ports explicitement ouverts.

Enfin, apres quelques minutes sur le site de Christian (http://christian.caleca.free.fr), tu sauras que ceci se passe obligatoirement dans la chaine FORWARD

-p tcp est egal à -p 21. C'est une facilité de netfilter permettant d'utiliser des noms plus représentatifs que des numeros de port. On peut voir ainsi -p www par exemple....

t.

[Muzo]

Doh!
J'l'avais oublié ce site!
Dites c'est mon clone qui a été l'instigateur du Guide iptables?

[Franck78]

-p tcp est egal à -p 21. C'est une facilité de netfilter permettant d'utiliser des noms plus représentatifs que des numeros de port. On peut voir ainsi -p www par exemple....

t.

Alors Tomtom, une indigestion de ftp ce soir

protocoles:
tcp, c'est 6
udp, c'est 17
prm c'est 21 "packet radio measurement !!"



D'ailleurs c'est une facilité de tout (ou presque) utilitaire unix, l'utilisation des fichiers /etc/services /etc/protocols ....



bye

[Franck78]

Antolien je dis ça en rigolant parceque précisément Tomtom était sur un post avec des problèmles tcp et port 21, 20 ip_conntrack et compagnie 15 minutes avant.

Ca passe mieux comme çà ?


Allez, une couche pour toi:


Sur deux lignes iptables qui ne font pas la même chose, tu en prèfères une quand on te demande laquelle est la mieux [pour celui qui pose la question, elles ont théoriquement le même effet].

[grosbedos]

arf que d'animausité lol,



enfin le script sme n'est pas evident à comprendre....franchement, c'est pas le plus clair que j'ai pu lire...

les reponses données sont suffisantes...bien que je n'ai pas compris celles de frank mdr............

et oui la sme comme toutes presque, bloque par defaut ce qui arrive du net...heureusement

arf et antolien tu sais tres bien que tomtom se la pete, il n'y connait rien

le prends quand je veux (peut etre au baby foot et encore ?)

[Franck78]

Moi, je veux fermer un port : 6666.

Code: Tout sélectionner

/sbin/iptables --append FORWARD -s X.X.X.X/255.255.255.0 -d 0.0.0.0/0 -p tcp --dport 6666 --jump DROP

Code: Tout sélectionner

iptables -A INPUT -p tcp --dport 6666 -j deny

Est ce que cela vous semble juste?
C'est quoi-t-y le mieux?

il y en a une qui interdit le protocole tcp(6666) depuis X.X.X.X
vers les autres interfaces de la machine firewall

et l'autre qui interdit la même chose mais a destination du firewall lui-même cette fois.

Il n'y a donc pas une règle un peu mieux ou un peu moins bien que l'autre !

[grosbedos]

juste une plus inutile que l'autre c'est vrai...et moins correcte à la syntaxe (drop vs deny)

[Muzo]

OK, ok, on se détend.

Ok merci pour vos réponses.
Je vais d'abord étudier la documentation du sieur Caleca et je reposterais soit une réponse correcte syntaxiquement (oui ok, le deny m'a échappé, méa culpa), soit des questions plus précises.

Stay tuned

[tomtom]

Ca va ca va !

Je reconnais avoir malangé carrement tout !

-p tcp pour le protocole tcp bien sur, je ne sais absolument pas ou j'ai été peché le ftp, c'est clair que c'ets lié à l'autre post ! En plus j'etais ennervé car la fete de la musique c'etait pas bien...

No problem et on kepp cool

t.

[Muzo]

En lisant la doc de M'sieur Caleca, c'est écrit en gros :

INPUT et OUTPUT n'interviennent absolument pas dans le routage. Toutes les règles que vous pourrez y mettre ne concerneront que la sécurité de la passerelle elle-même, mais pas de votre réseau privé.

[Muzo]

A y'est je rends ma copie !

Bon là je viens de faire un bout de script (celui que je penses même faire).

Code: Tout sélectionner

#Variable connues du script
#Je ne puis y toucher
INTERNALIF=eth0 :
OUTERIF=eth1
# celle-ci retourne l'addresse ip vue d'internet.
OUTERNET=$(/sbin/e-smith/db configuration get ExternalIP)
#Création d'une nouvelle chaine (une seul autre existe sur FORWARD : ForwardAllowLocals)
/sbin/iptables --new-chain ForwardDenyLocals
/sbin/iptables -A FORWARD -i $INTERNALIF -o $OUTERIF -j ForwardDenyLocals
#Refus d'un port de sortie en tcp et udp pour la classe d'adresses
/sbin/iptables -A ForwardDenyLocals -s 192.168.0.0/255.255.255.0 -p tcp --dport 6666 -j DROP
/sbin/iptables -A ForwardDenyLocals -s 192.168.0.0/255.255.255.0 -p udp --dport 6666 -j DROP
#Refus d'une plage de port de sortie en tcp et udp pour la classe d'adresses
/sbin/iptables -A ForwardDenyLocals -s 192.168.0.0/255.255.255.0 -p tcp --dport 235:500 -j DROP
#Refus d'un port pour une adresse spécifique
/sbin/iptables -A ForwardDenyLocals -s 192.168.0.25 -p tcp --dport 80 -j DROP

Dites moi tout de suite si je commences à comprendre, ou si il faille que je m'inscrive dans un club de macramé?

[grosbedos]

oui ces règles sont correctes, après faut voir quand les appliquer,
et pour l'intégration à sme, je ne sais pas :-/

(lol il est classe le vérificateur d'orthographe de konqueror, j'aurais du découvrir cela avant !!)