iptables....

par **isaac_fred** » 29 Mai 2003 15:28

Salut, j'aimerais bien "affiner" les regles d'IPTABLES fourns avec IPCOP mais n'etant pas un spécialiste, je galere un peu.... Faut dire qu'IPTABLES n'est pas non plus le plus simple a configurer, je trouve,même si il a le merite d'être performant ( si bien configuré !!) Quelqu'un aurait il deja fait cela ? Ou, y aurait il quelque chose sur les regles par defaut fournis avec cette distribution ? Je suis aller voir les sites concernant IPTABLES mais c'est .... complexe (ch howto iptables) Merci d'avance Fred

par **grosbedos** » 29 Mai 2003 17:14

salut, tu peux commencer par la : <a href="http://christian.caleca.free.fr/netfilter" target="_blank">http://christian.caleca.free.fr/netfilter</a>

par **isaac_fred** » 29 Mai 2003 18:27

Merci, en fait, je m'y suis mis et c'est pas si violent que ca en fait.... la chose que je ne comprends pas pour l'instant, c'est pourquoi ipcop créé autant de chaine (ipac par exemple !) dans iptables

par **isaac_fred** » 29 Mai 2003 19:11

En fait, voila ma config iptables je ne comprends pas les chaines a la fin (Chain ipac~fo, Chain ipac~fi,....) Quelqu'un sait ce que c'est ? (installation classique GREEN + RED avec modem eciusb) Chain INPUT (policy DROP) target prot opt source destination ipac~o all -- anywhere anywhere PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5 CUSTOMINPUT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere RED all -- anywhere anywhere XTACCESS all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT ' Chain FORWARD (policy DROP) target prot opt source destination ipac~fi all -- anywhere anywhere ipac~fo all -- anywhere anywhere PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE CUSTOMFORWARD all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere PORTFWACCESS all -- anywhere anywhere DMZHOLES all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT ' Chain OUTPUT (policy ACCEPT) target prot opt source destination ipac~i all -- anywhere anywhere Chain CUSTOMFORWARD (1 references) target prot opt source destination Chain CUSTOMINPUT (1 references) target prot opt source destination Chain DMZHOLES (1 references) target prot opt source destination Chain PORTFWACCESS (1 references) target prot opt source destination Chain PSCAN (4 references) target prot opt source destination LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? ' LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? ' LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? ' LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? ' DROP all -- anywhere anywhere Chain RED (1 references) target prot opt source destination ACCEPT gre -- anywhere anywhere ACCEPT ipv6-crypt-- anywhere anywhere ACCEPT ipv6-auth-- anywhere anywhere ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp Chain XTACCESS (1 references) target prot opt source destination ACCEPT tcp -- anywhere moi tcp dpt:auth Chain ipac~fi (1 references) target prot opt source destination all -- anywhere anywhere all -- anywhere anywhere Chain ipac~fo (1 references) target prot opt source destination all -- anywhere anywhere all -- anywhere anywhere Chain ipac~i (1 references) target prot opt source destination all -- anywhere anywhere all -- anywhere anywhere Chain ipac~o (1 references) target prot opt source destination all -- anywhere anywhere all -- anywhere anywhere

par **tomtom** » 30 Mai 2003 14:40

Jette un coup d'oeil à ton fichier rc.firewall (c'est là que sont définies les règles iptables qui se chargent au demarrage). D'une part, tu auras des commentaires et donc tu verras à quoi servent ces tables... D'autre part, on ne voit pas bien avec le -L malheureusement, il manque pas mal de paramètre. Il vaut mieux regarder directement le fichier pour comprendre.

par **isaac_fred** » 30 Mai 2003 18:41

Effectivement, c'est plus clair en regardant rc.firewall !! Mon script rc.firewall a l'air tout a fait correct et ne fait allusion nulle part a des tables comme Chain ipac~fo ou quoi que ce soit de ce style !! je trouve ca bizarre.... Je pensais que toutes les chaines etaient créées via le script rc.firewall, non ? je vais creuser mais cela dit, si quelqu'un a un debut de reponse ...., je le remercierai au centuple .

par **tomtom** » 30 Mai 2003 18:52

Je n'ai aucune idee de ce à quoi peut correspondre ces tables... Si tu ne les vois pas dans le rc.firewall, c'est à mon avis qu'elles ne sont pas natives à IPCop... As-tu passé des add-ons particuliers ? As-tu ajouté des choses ? Comme on ne voit rien dans tes règles, et qu'en plus ces tables ont l'air vides, je ne sais pas trop à quoi elles correspondent... Thomas

par **RON** » 31 Mai 2003 11:25

Une piste pour les chaines ipac~o....: les fichiers ipac.conf et ipac.rules des détails : <a href="http://forums.ixus.net/viewtopic.php?t=3136" target="_blank">http://forums.ixus.net/viewtopic.php?t=3136</a>

par **isaac_fred** » 01 Juin 2003 11:11

Effectivement, merci pour l'info. ces chaines semblent venir d'un problem lors de l'installation d'IPCOPTraffic !! je vais degager ca. Merci.

iptables....

Qui est en ligne ?