[RESOLU]script iptables au démarrage

[dre.kalim]

Bonjour à tous...

Alors voilà j'ai créer un script pour mettre en place mes règles de firewalling mais je ne sais pas comment faire pour que ce script soit automatiquement chargé au démarrage...

Si quelqu'un pouvait m'aider ça me serait très utile car c'est plutôt urgent !

Je vous remercie d'avance.

[dre.kalim]

C'est encore moi...Je vois que personne ne répond ?

Si vous ne répondez pas parce que vous pensez que je n'ai pas fait de recherches au préalables, détrompez-vous !

Je n'ai pas trouvé les informations nécessaires qui me permettait de lancer un script au démarrage de CC...

Je me demandais : puisque CC est basé sur Fédora, elle-même basé sur RH, est-ce qu'en utilisant /etc/rc.d/ ça pourrait marcher?

Merci quand même ...

[tomtom]

Evidemment !

Une distro linux, ca reste une distro linux, le boot est systemV, donc les rc?.d se comportent de manière standard.


t.

[dre.kalim]

)OK merci...

Je viens de voir un truc à propos d'un fichier appelé /etc/rc.d/rc.firewall.

J'aurais quelques questions (elles sont peut-être un peu bêtes mais en tant que débutant... ) :

- 1) Est-ce que ce fichier est par défaut sur CC oo est-ce que c'est à moi de le créer ?

- 2) S'il est créé par défaut, est-ce qu'il ressemble à celui dans ce post (ou est-ce que c'est celui-là même) : http://forums.fr.ixus.net/viewtopic.php?t=5765&highlight=license ?

- 3) Est-ce qu'il est lancé au automatiquement au démarrage de la machine ?

- 4) Si je veux que définir mes règles, est-ce que je dois compléter ce fichier (car des lignes sont indispensables) où est-ce que je dois entièrement le ré-éditer ?

Ca fait beaucoup, je sais ...
Mais je ne suis qu'un débutant et j'ai grandement besoin d'aide ! Après tout, je suis un linuxien en devenir !!!!!

Merci à tous...

[tomtom]

ha je ne connais pas CC donc je ne sais pas.. Il existe surement un fichier avec les règles de firewall, maintenant est-ce rc.firewall ? A voir.

Enfin, je pesne que CC comporte par défaut un script de firwall correct.
Il faut docn que tu fasses attention à ce que tu fais pour t'intégrer à sa philosophie.
Il n'y a pas une interface sur CC pour créer des règles ?

t.

[dre.kalim]

Merci d'avoir répondu si rapidement


Je ne sais pas car je ne l'ai pas encore installé... En fait, je dois faire un serveur proxy/firewall sous CC (parce que l'actuel est sous CC et CC a l'air très bien donc...) et j'ai trouvé le fichier /etc/rc.d/rc.firewall (d'ailleur je ne sais même pas par quoi il est lancé) qui ressemble étrangement à celui donné sur le post (cf message précédent).

Je me suis donc dit que ce fichier devait être par défaut...
Il y a des tas de truc et j'avoue que je n'y comprends par grand chose !

J'ai besoin d'aide

[gedeco]

Il faut ajouter les propres modif dans /etc/rc.d/rc.firewall.local
Cette fichier devait être créeer manuellement.

Autrement vous pedre votre propre modifications, le jours qu'il y a un mis a jours du module cc-firewall.
Le fichier /etc/rc.d/rc.firewall sera remplacer a cause du mis a jour.

[dre.kalim]

OK alors dans ce cas là il va falloir faire en sorte de ne plus lancer rc.firewall et de lancer rc.firewall.local... et j'y fais comment ça?

[gedeco]

Le script rc.firewall est automatiquement lancer a partir de demarrage d'ordinateur.
Si le fichier rc.firewall.local existe, les regles propre que vous avez mi dedans, sera executer egalement.

Pour redemarer le firewall sans redemarrer l'ordinateur (Est aussi le customisations dans rc.firewall.local)

Code: Tout sélectionner

service firewall restart


Le fichier rc.firewall.local devait avoir exactement les même permisions que rc.firewal

[dre.kalim]

Je veux bien mais si je fais ça, ça va prendre en compte les règles présentes dans rc.firewall puis rc.firewall.local, or dans mon cas (il y a des tas de trucs que je trouve inutile dans rc.firewall), j'aimerais uniquement que soit pris en compte les règles définies dans mon script...

( Si je me trompe, fais le moi savoir ! )

Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall (ce qui est plutôt risqué non ?) ou est-ce que je dois faire en sorte que rc.firewall ne soit pas lancé mais que mon script oui (et comment...?).


En tout cas merci de m'aider

[gedeco]

Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall?

Si vous n'avez pas besoin du règles existante dans rc.firewall, il faut mieux le changer completement. Règles supplementaire sur le configuration d'origine: rc.firewall.local

[dre.kalim]

Ce que je vais faire alors c'est que dans rc.firewall je vais mettre en commentaire tout ce qui ne m'intéressent pas et j'ajouterai mais règles...

Deux dernière question :

- est-ce que tu sais par quoi est lancé rc.firewall (quel démon, quel script, fichier qui contient un lien...) ?

- pour le dns : est-ce que je dois uniquement l'autoriser en sortie et accepter les réponse (avec RELATED) ou est-ce que je suis obligé de l'autoriser également en input (ce qui m'étonnerai puisque je ne veux pas qu'une machine extérieur m'envoie des requêtes dns !) ?


Merci

[gedeco]

- est-ce que tu sais par quoi est lancé rc.firewall (quel démon, quel script, fichier qui contient un lien...) ?

Le system s'appele Sys V si memoire me servira bien.

A partir du linux command prompt

Code: Tout sélectionner

[root@Duvel root]# ntsysv


deselecter le service firewall. Comme ça il sera plus demarrer autant que vous demarer CC.
Faites attentions, que le firewall comporte des règles qui sert a masquerading est NAT. En fait il y beaucoup de magie du gateway dans cette fichier.
Je vous conseille quand-même de prender une copie sauve-garde

Code: Tout sélectionner

cp /etc/rc.d/rc.firewall /etc/rc.d/rc.firewallbackup


Comme ça tu sait revenir ens arriere quand ta faites une erreur.

est puis pour arreter le service firewall actuellement

Code: Tout sélectionner

service firewall stop


Les choses expliquer a partir du command prompt sont egallement possible a partir du webconfig interface.

- pour le dns : est-ce que je dois uniquement l'autoriser en sortie et accepter les réponse (avec RELATED) ou est-ce que je suis obligé de l'autoriser également en input (ce qui m'étonnerai puisque je ne veux pas qu'une machine extérieur m'envoie des requêtes dns !) ?


Merci

Ici le règle utiliser par CC pour eviter DNS spoofing
C'est règle est en place pour recevoir les response.

Code: Tout sélectionner

# UDP injection
        #--------------
        $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp --sport 53 -j DROP


On utiliser ESTABLISHED en place de RELATED.

Par default le clients du LAN ce connect au deamon DNSMASQ, qui est une cache local pour DNS.
Egalement vous devait authoriser vers port udp 53 sur les serveur DNS exterieur.

Voici une transmission DNS que je viens de capture

Code: Tout sélectionner

UDP (65 bytes) from 217.x.X.X:35163 to 195.x.x.x:53 on ppp0                                                        │
│ UDP (81 bytes) from 195.x.x.x:53 to 217.x.x.x:35163 on ppp0


Le ip 195.x.X.x est le serveur DNS de mon provider.

[Franck78]

Je veux bien mais si je fais ça, ça va prendre en compte les règles présentes dans rc.firewall puis rc.firewall.local, or dans mon cas (il y a des tas de trucs que je trouve inutile dans rc.firewall), j'aimerais uniquement que soit pris en compte les règles définies dans mon script...

( Si je me trompe, fais le moi savoir ! )

Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall (ce qui est plutôt risqué non ?) ou est-ce que je dois faire en sorte que rc.firewall ne soit pas lancé mais que mon script oui (et comment...?).


En tout cas merci de m'aider

Et bien dans ce cas précis il faut être bourrin !
Les règles en places (toutes) te déplaisent.
Tu ne dois pas toucher a rc.firewall
rc.firewall.local est appelé après rc.firewall.

Alors, solution évidente, tu détruis toutes les règles existantes, tu remets les politiques par défaut et tu commences à mettre tes règles...
Simple non ?
Tout ça dans ton seul rc.firewall.local

[dre.kalim]

A partir du linux command prompt

Code: Tout sélectionner

[root@Duvel root]# ntsysv


deselecter le service firewall. Comme ça il sera plus demarrer autant que vous demarer CC.

Merci pour cette info : ntsysv, en fait c'est un utilistaire qui permet de gérer les services contenus sous /etc/rc.d (en plus de ceux lancés par xinet.d)... D'après ce que j'ai lu, après avoir lancé la commande, il suffit de se déplacer avec les flèches et de sélectionner ou non les services...

Ici le règle utiliser par CC pour eviter DNS spoofing
C'est règle est en place pour recevoir les response.

Code: Tout sélectionner

# UDP injection
        #--------------
        $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp --sport 53 -j DROP


On utiliser ESTABLISHED en place de RELATED.

Par default le clients du LAN ce connect au deamon DNSMASQ, qui est une cache local pour DNS.
Egalement vous devait authoriser vers port udp 53 sur les serveur DNS exterieur.

Voici une transmission DNS que je viens de capture

Code: Tout sélectionner

UDP (65 bytes) from 217.x.X.X:35163 to 195.x.x.x:53 on ppp0                                                        │
│ UDP (81 bytes) from 195.x.x.x:53 to 217.x.x.x:35163 on ppp0


Le ip 195.x.X.x est le serveur DNS de mon provider.

Déjà, merci de m'avoir corriger, je voulais dire ESTABLISHED...

Il n'y a pas une petite erreur dans la première ligne de ton code ? Je crois que cette règles devrait être ajoutée à la chaîne OUTPUT, non ? :

$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT

Etablir des règles sur des paquets entrants DESTINNES AU PORT 53, c'est pas un peu bizarre tout ça Si ce n'est pas le cas je n'ai pas tout compris...

Et bien dans ce cas précis il faut être bourrin !
Les règles en places (toutes) te déplaisent.
Tu ne dois pas toucher a rc.firewall
rc.firewall.local est appelé après rc.firewall.

Alors, solution évidente, tu détruis toutes les règles existantes, tu remets les politiques par défaut et tu commences à mettre tes règles...
Simple non ?
Tout ça dans ton seul rc.firewall.local

Je trouve que c'est un très bonne idée , mais en lisant rc.firewall, j'ai cru comprendre qu'il y avait des lignes indispensables au bon fonctionnement de CC et du webconfig... Comme je ne suis pas super doué (c'est la vie... ), il faudrait qu'on m'aide pour savoir ce qui est indispensable à CC dans ce fichier !

En tout cas, merci bien...