Salut.
Voilà, je me pose une question depuis quelques temps:
je configure iptables avec, en gros (-P INPUT DROP):
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m STATE --state RELATED, ESTABLISHED -j ACCEPT
Là, je n'ai aucun problème.
Mais lorsque j'enlève la ligne relative à l'interface de loopback (par curiosité), pas mal de choses déconnent: KDE, nmap... et surtout impossible de booter.
Je ne comprends pas pourquoi, puisque, normalement, les connexions initiées par la machine devraient être acceptées (... --stats RELATED, ESTABLISHED ...).
Où est-ce que mon raisonnement foire?
Merci d'avance.
loopback et iptables
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
loopback et iptables
par cf » 19 Déc 2004 11:46
- cf
- Lieutenant de vaisseau
- Messages: 217
- Inscrit le: 01 Jan 2004 01:00
par tomtom » 20 Déc 2004 00:41
C'est tout simple :
Plein de choses dans unix fonctionnent en mode client/serveur.
Un serveur ecoute sur un port (typiquement, X) et des clients se connectent dessus, via une connexion réseau. Une connexion au serveur X eut d'aileuir se faire aussi bien en local que depuis une autre machine !
disons que le serveur X ecoute sur le port 6000 (au hasard !)
Un client X essaye de démarrer : il envoire un paquet TCP syn sur l'addresse de loopback port 6000.
Ce paquet, pour netfilter, est NEW.
Il va traverser la table de OUPUT, puis la table de INPUT. (je laisse de coté le nat
)
Le OUOUT le laisse a priori sortir, mais le paquet n'est toujours pas ESTABLISHED pour autant ! Il sera DROPE par le INPUT.
Il est vivmement conseillé de toujours laisser lo en ACEPT dans INPUT et OUTPUT sous peine de voir des comportements surprenants !
t.
Plein de choses dans unix fonctionnent en mode client/serveur.
Un serveur ecoute sur un port (typiquement, X) et des clients se connectent dessus, via une connexion réseau. Une connexion au serveur X eut d'aileuir se faire aussi bien en local que depuis une autre machine !
disons que le serveur X ecoute sur le port 6000 (au hasard !)
Un client X essaye de démarrer : il envoire un paquet TCP syn sur l'addresse de loopback port 6000.
Ce paquet, pour netfilter, est NEW.
Il va traverser la table de OUPUT, puis la table de INPUT. (je laisse de coté le nat
)
Le OUOUT le laisse a priori sortir, mais le paquet n'est toujours pas ESTABLISHED pour autant ! Il sera DROPE par le INPUT.
Il est vivmement conseillé de toujours laisser lo en ACEPT dans INPUT et OUTPUT sous peine de voir des comportements surprenants !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par micjack » 20 Déc 2004 00:57
Mais y'a un truc qui me derange,
iptables -A INPUT -m STATE --state RELATED, ESTABLISHED -j ACCEPT
Le state en majuscule (cela devrait retourner une erreur) , puis aucune regle de trafic avant -m
Aussi "lo" que dans un sens "-i" mais pas en "-o"
Exemple: Si je ne met pas
iptables -A INPUT -i $wan -j ACCEPT
iptables -A OUTPUT -o $wan -j ACCEPT
Je ne peut pas faire de mise à jours sur la passerelle par apt-get... La logique reste la meme sur "lo"
Ne pas oublier que toutes regles en INPUT, OUTPUT , concernent avant tout la passerelle
iptables -A INPUT -m STATE --state RELATED, ESTABLISHED -j ACCEPT
Le state en majuscule (cela devrait retourner une erreur) , puis aucune regle de trafic avant -m
Aussi "lo" que dans un sens "-i" mais pas en "-o"
Exemple: Si je ne met pas
iptables -A INPUT -i $wan -j ACCEPT
iptables -A OUTPUT -o $wan -j ACCEPT
Je ne peut pas faire de mise à jours sur la passerelle par apt-get... La logique reste la meme sur "lo"
Ne pas oublier que toutes regles en INPUT, OUTPUT , concernent avant tout la passerelle
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
par tomtom » 20 Déc 2004 10:57
micjack a écrit:Exemple: Si je ne met pas
iptables -A INPUT -i $wan -j ACCEPT
iptables -A OUTPUT -o $wan -j ACCEPT
Ca c'est pas normal !
iptables -A OUPUT -o $wan -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ca devrait suffire à faire la mise à jour via apt (avec le module ftp helper bien sur !)
modprobe ip_conntrack_ftp
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par micjack » 20 Déc 2004 14:38
Effectivement, c'est pas normal 
Mais avec les etats de connexions en INPUT ca marche pas chez moi.. C'est pas trop grave, je rentre ces regles uniquement en ligne de commande juste les fois ou j'en ai besoin pour apt... Je vais creuser la question car meme sans ip_conntrack_ftp cela marche.
Par contre, l'exemple cité, etait justement pour trouver la relation de non fonctionnement avec les etats de connexion -m state --state ESTABLISHED,RELATED -j ACCEPT relatif de lo en INPUT...
Le -A INPUT -i $wan -j ACCEPT c'est du depanage pour test qui me prouve bien qu'il y'a un probleme avec les etats.
Chose parcontre qui marche tres bien entre les interfaces
iptables -A FORWARD -i $wan -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Je creuse
Mais avec les etats de connexions en INPUT ca marche pas chez moi.. C'est pas trop grave, je rentre ces regles uniquement en ligne de commande juste les fois ou j'en ai besoin pour apt... Je vais creuser la question car meme sans ip_conntrack_ftp cela marche.
Par contre, l'exemple cité, etait justement pour trouver la relation de non fonctionnement avec les etats de connexion -m state --state ESTABLISHED,RELATED -j ACCEPT relatif de lo en INPUT...
Le -A INPUT -i $wan -j ACCEPT c'est du depanage pour test qui me prouve bien qu'il y'a un probleme avec les etats.
Chose parcontre qui marche tres bien entre les interfaces
iptables -A FORWARD -i $wan -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Je creuse
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
par tomtom » 20 Déc 2004 14:45
Si tu autorises tout à rentrer, c'est normal que tu n'aies pas besoin du helper ftp
Le module d'etats focntionne très bien avec la chaine INPUT, chez moi tout est fermé sur le INPUT, et pourtant le browsing, la mise à jour etc. fonctionnent !
Envoie moi ton fichier de règles complet si tu veux !
t.
Le module d'etats focntionne très bien avec la chaine INPUT, chez moi tout est fermé sur le INPUT, et pourtant le browsing, la mise à jour etc. fonctionnent !
Envoie moi ton fichier de règles complet si tu veux !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par micjack » 22 Déc 2004 22:49
Merci de ta proposition Tomtom, mais j'ai resolu le probleme...
A force de compiler et recompiler divers choses sur ma machine et bidouiller certains script/conf , c'etait devennu le bronx, je me suis retrouvé avec quatre versions noyaux differents et pleins de problemes annexe... J'ai fais le menage, desinstallé pas mal de RPM puis la reinstallation de certains dans les bonnes versions... (cela m'apprendra à l'utiliser pour les compiles)
Je suppose donc, que seule une regle contraire pouvait annuler l'autre... (Je ne peut verifier, j'ai tout viré sur un coup de tete suite à un autre probleme)
Si non, chez moi aussi le module d'etat fonctionnait tres bien, puisque aucun probleme de connexion Web du reseau local (Exemple: Mon post plus haut) De ce fait, je n'avais aussi aucun probleme de browsing et autres....
Par contre, concernant la mise à jour par apt, chez moi elle concerne uniquement la passerelle... Par defaut tout trafic Wan-->ecriture passerelle est strictement interdit, l'autorisation est vraiement ponctuelle, juste du temp de la mise à jour puis j'annule les regles...
Cependant, concernant le sujet, le INPUT en tout ouvert, permet bien souvant (heureusement) de clarifier la source des problemes....
A force de compiler et recompiler divers choses sur ma machine et bidouiller certains script/conf , c'etait devennu le bronx, je me suis retrouvé avec quatre versions noyaux differents et pleins de problemes annexe... J'ai fais le menage, desinstallé pas mal de RPM puis la reinstallation de certains dans les bonnes versions... (cela m'apprendra à l'utiliser pour les compiles)
Je suppose donc, que seule une regle contraire pouvait annuler l'autre... (Je ne peut verifier, j'ai tout viré sur un coup de tete suite à un autre probleme)
Si non, chez moi aussi le module d'etat fonctionnait tres bien, puisque aucun probleme de connexion Web du reseau local (Exemple: Mon post plus haut) De ce fait, je n'avais aussi aucun probleme de browsing et autres....
Par contre, concernant la mise à jour par apt, chez moi elle concerne uniquement la passerelle... Par defaut tout trafic Wan-->ecriture passerelle est strictement interdit, l'autorisation est vraiement ponctuelle, juste du temp de la mise à jour puis j'annule les regles...
Cependant, concernant le sujet, le INPUT en tout ouvert, permet bien souvant (heureusement) de clarifier la source des problemes....
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
8 messages
• Page 1 sur 1
Retour vers Linux et BSD (forum généraliste)
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité