[RESOLU]script iptables au démarrage

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

[RESOLU]script iptables au démarrage

Messagepar dre.kalim » 26 Avr 2005 12:01

Bonjour à tous...

Alors voilà j'ai créer un script pour mettre en place mes règles de firewalling mais je ne sais pas comment faire pour que ce script soit automatiquement chargé au démarrage...

Si quelqu'un pouvait m'aider ça me serait très utile car c'est plutôt urgent !

Je vous remercie d'avance.
Dernière édition par dre.kalim le 10 Mai 2005 17:42, édité 1 fois au total.
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Messagepar dre.kalim » 26 Avr 2005 17:08

C'est encore moi...Je vois que personne ne répond ? :roll:

Si vous ne répondez pas parce que vous pensez que je n'ai pas fait de recherches au préalables, détrompez-vous ! :lol:

Je n'ai pas trouvé les informations nécessaires qui me permettait de lancer un script au démarrage de CC...

Je me demandais : puisque CC est basé sur Fédora, elle-même basé sur RH, est-ce qu'en utilisant /etc/rc.d/ ça pourrait marcher?

Merci quand même :D ...
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Messagepar tomtom » 26 Avr 2005 17:37

Evidemment !

Une distro linux, ca reste une distro linux, le boot est systemV, donc les rc?.d se comportent de manière standard.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar dre.kalim » 27 Avr 2005 11:57

)OK merci...

Je viens de voir un truc à propos d'un fichier appelé /etc/rc.d/rc.firewall.

J'aurais quelques questions (elles sont peut-être un peu bêtes mais en tant que débutant... :? ) :

- 1) Est-ce que ce fichier est par défaut sur CC oo est-ce que c'est à moi de le créer ?

- 2) S'il est créé par défaut, est-ce qu'il ressemble à celui dans ce post (ou est-ce que c'est celui-là même) : http://forums.fr.ixus.net/viewtopic.php?t=5765&highlight=license ?

- 3) Est-ce qu'il est lancé au automatiquement au démarrage de la machine ?

- 4) Si je veux que définir mes règles, est-ce que je dois compléter ce fichier (car des lignes sont indispensables) où est-ce que je dois entièrement le ré-éditer ?

Ca fait beaucoup, je sais :oops: ...
Mais je ne suis qu'un débutant et j'ai grandement besoin d'aide :D ! Après tout, je suis un linuxien en devenir !!!!! 8)

Merci à tous...
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Messagepar tomtom » 27 Avr 2005 12:08

ha je ne connais pas CC donc je ne sais pas.. Il existe surement un fichier avec les règles de firewall, maintenant est-ce rc.firewall ? A voir.

Enfin, je pesne que CC comporte par défaut un script de firwall correct.
Il faut docn que tu fasses attention à ce que tu fais pour t'intégrer à sa philosophie.
Il n'y a pas une interface sur CC pour créer des règles ?

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar dre.kalim » 27 Avr 2005 12:37

Merci d'avoir répondu si rapidement :)


Je ne sais pas car je ne l'ai pas encore installé... En fait, je dois faire un serveur proxy/firewall sous CC (parce que l'actuel est sous CC et CC a l'air très bien donc...) et j'ai trouvé le fichier /etc/rc.d/rc.firewall (d'ailleur je ne sais même pas par quoi il est lancé) qui ressemble étrangement à celui donné sur le post (cf message précédent).

Je me suis donc dit que ce fichier devait être par défaut...
Il y a des tas de truc et j'avoue que je n'y comprends par grand chose !

J'ai besoin d'aide :help:
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Iptables

Messagepar gedeco » 27 Avr 2005 14:06

Il faut ajouter les propres modif dans /etc/rc.d/rc.firewall.local
Cette fichier devait être créeer manuellement.

Autrement vous pedre votre propre modifications, le jours qu'il y a un mis a jours du module cc-firewall.
Le fichier /etc/rc.d/rc.firewall sera remplacer a cause du mis a jour.
Avatar de l’utilisateur
gedeco
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 06 Nov 2003 01:00

Messagepar dre.kalim » 27 Avr 2005 14:22

OK alors dans ce cas là il va falloir faire en sorte de ne plus lancer rc.firewall et de lancer rc.firewall.local... et j'y fais comment ça?
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

rc.firewall

Messagepar gedeco » 27 Avr 2005 15:56

Le script rc.firewall est automatiquement lancer a partir de demarrage d'ordinateur.
Si le fichier rc.firewall.local existe, les regles propre que vous avez mi dedans, sera executer egalement.

Pour redemarer le firewall sans redemarrer l'ordinateur (Est aussi le customisations dans rc.firewall.local)

Code: Tout sélectionner
service firewall restart



Le fichier rc.firewall.local devait avoir exactement les même permisions que rc.firewal
Avatar de l’utilisateur
gedeco
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 06 Nov 2003 01:00

Messagepar dre.kalim » 27 Avr 2005 16:26

Je veux bien mais si je fais ça, ça va prendre en compte les règles présentes dans rc.firewall puis rc.firewall.local, or dans mon cas (il y a des tas de trucs que je trouve inutile dans rc.firewall), j'aimerais uniquement que soit pris en compte les règles définies dans mon script...

( Si je me trompe, fais le moi savoir :o ! )

Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall (ce qui est plutôt risqué non ?) ou est-ce que je dois faire en sorte que rc.firewall ne soit pas lancé mais que mon script oui (et comment...?).


En tout cas merci de m'aider :D
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Messagepar gedeco » 28 Avr 2005 10:24

dre.kalim a écrit:Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall? :D


Si vous n'avez pas besoin du règles existante dans rc.firewall, il faut mieux le changer completement. Règles supplementaire sur le configuration d'origine: rc.firewall.local
Avatar de l’utilisateur
gedeco
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 06 Nov 2003 01:00

Messagepar dre.kalim » 28 Avr 2005 10:48

Ce que je vais faire alors c'est que dans rc.firewall je vais mettre en commentaire tout ce qui ne m'intéressent pas et j'ajouterai mais règles...

Deux dernière question :

- est-ce que tu sais par quoi est lancé rc.firewall (quel démon, quel script, fichier qui contient un lien...) ?

- pour le dns : est-ce que je dois uniquement l'autoriser en sortie et accepter les réponse (avec RELATED) ou est-ce que je suis obligé de l'autoriser également en input (ce qui m'étonnerai puisque je ne veux pas qu'une machine extérieur m'envoie des requêtes dns !) ?


Merci 8)
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49

Messagepar gedeco » 28 Avr 2005 15:32

dre.kalim a écrit: - est-ce que tu sais par quoi est lancé rc.firewall (quel démon, quel script, fichier qui contient un lien...) ?


Le system s'appele Sys V si memoire me servira bien.

A partir du linux command prompt

Code: Tout sélectionner
[root@Duvel root]# ntsysv


deselecter le service firewall. Comme ça il sera plus demarrer autant que vous demarer CC.
Faites attentions, que le firewall comporte des règles qui sert a masquerading est NAT. En fait il y beaucoup de magie du gateway dans cette fichier.
Je vous conseille quand-même de prender une copie sauve-garde

Code: Tout sélectionner
cp /etc/rc.d/rc.firewall /etc/rc.d/rc.firewallbackup


Comme ça tu sait revenir ens arriere quand ta faites une erreur.

est puis pour arreter le service firewall actuellement

Code: Tout sélectionner
service firewall stop


Les choses expliquer a partir du command prompt sont egallement possible a partir du webconfig interface.

dre.kalim a écrit: - pour le dns : est-ce que je dois uniquement l'autoriser en sortie et accepter les réponse (avec RELATED) ou est-ce que je suis obligé de l'autoriser également en input (ce qui m'étonnerai puisque je ne veux pas qu'une machine extérieur m'envoie des requêtes dns !) ?


Merci 8)



Ici le règle utiliser par CC pour eviter DNS spoofing
C'est règle est en place pour recevoir les response.

Code: Tout sélectionner
# UDP injection
        #--------------
        $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp --sport 53 -j DROP


On utiliser ESTABLISHED en place de RELATED.

Par default le clients du LAN ce connect au deamon DNSMASQ, qui est une cache local pour DNS.
Egalement vous devait authoriser vers port udp 53 sur les serveur DNS exterieur.

Voici une transmission DNS que je viens de capture

Code: Tout sélectionner
UDP (65 bytes) from 217.x.X.X:35163 to 195.x.x.x:53 on ppp0                                                        │
│ UDP (81 bytes) from 195.x.x.x:53 to 217.x.x.x:35163 on ppp0


Le ip 195.x.X.x est le serveur DNS de mon provider.
Avatar de l’utilisateur
gedeco
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 06 Nov 2003 01:00

Messagepar Franck78 » 28 Avr 2005 15:56

dre.kalim a écrit:Je veux bien mais si je fais ça, ça va prendre en compte les règles présentes dans rc.firewall puis rc.firewall.local, or dans mon cas (il y a des tas de trucs que je trouve inutile dans rc.firewall), j'aimerais uniquement que soit pris en compte les règles définies dans mon script...

( Si je me trompe, fais le moi savoir :o ! )

Donc je reviens à ma première question, si je veux définir mes propres règles (et uniquement mes règles), est-ce que je dois modifier rc.firewall (ce qui est plutôt risqué non ?) ou est-ce que je dois faire en sorte que rc.firewall ne soit pas lancé mais que mon script oui (et comment...?).


En tout cas merci de m'aider :D


Et bien dans ce cas précis il faut être bourrin !
Les règles en places (toutes) te déplaisent.
Tu ne dois pas toucher a rc.firewall
rc.firewall.local est appelé après rc.firewall.

Alors, solution évidente, tu détruis toutes les règles existantes, tu remets les politiques par défaut et tu commences à mettre tes règles...
Simple non ?
Tout ça dans ton seul rc.firewall.local
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar dre.kalim » 28 Avr 2005 16:31

gedeco a écrit:A partir du linux command prompt

Code: Tout sélectionner
[root@Duvel root]# ntsysv


deselecter le service firewall. Comme ça il sera plus demarrer autant que vous demarer CC.


Merci pour cette info : ntsysv, en fait c'est un utilistaire qui permet de gérer les services contenus sous /etc/rc.d (en plus de ceux lancés par xinet.d)... D'après ce que j'ai lu, après avoir lancé la commande, il suffit de se déplacer avec les flèches et de sélectionner ou non les services... :)





gedeco a écrit:Ici le règle utiliser par CC pour eviter DNS spoofing
C'est règle est en place pour recevoir les response.

Code: Tout sélectionner
# UDP injection
        #--------------
        $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT
        $IPTABLES -A INPUT -p udp --sport 53 -j DROP


On utiliser ESTABLISHED en place de RELATED.

Par default le clients du LAN ce connect au deamon DNSMASQ, qui est une cache local pour DNS.
Egalement vous devait authoriser vers port udp 53 sur les serveur DNS exterieur.

Voici une transmission DNS que je viens de capture

Code: Tout sélectionner
UDP (65 bytes) from 217.x.X.X:35163 to 195.x.x.x:53 on ppp0                                                        │
│ UDP (81 bytes) from 195.x.x.x:53 to 217.x.x.x:35163 on ppp0


Le ip 195.x.X.x est le serveur DNS de mon provider.


Déjà, merci de m'avoir corriger, je voulais dire ESTABLISHED... :lol:

Il n'y a pas une petite erreur dans la première ligne de ton code ? Je crois que cette règles devrait être ajoutée à la chaîne OUTPUT, non ? :
gedeco a écrit:$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT

Etablir des règles sur des paquets entrants DESTINNES AU PORT 53, c'est pas un peu bizarre tout ça :o :?: Si ce n'est pas le cas je n'ai pas tout compris...






Franck78 a écrit:Et bien dans ce cas précis il faut être bourrin !
Les règles en places (toutes) te déplaisent.
Tu ne dois pas toucher a rc.firewall
rc.firewall.local est appelé après rc.firewall.

Alors, solution évidente, tu détruis toutes les règles existantes, tu remets les politiques par défaut et tu commences à mettre tes règles...
Simple non ?
Tout ça dans ton seul rc.firewall.local


Je trouve que c'est un très bonne idée :D , mais en lisant rc.firewall, j'ai cru comprendre qu'il y avait des lignes indispensables au bon fonctionnement de CC et du webconfig... Comme je ne suis pas super doué (c'est la vie... :( ), il faudrait qu'on m'aide pour savoir ce qui est indispensable à CC dans ce fichier ! :)

En tout cas, merci bien... 8)
Avatar de l’utilisateur
dre.kalim
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 20 Avr 2005 16:49


Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron