probleme iptables

[dissident]

Bonjour,

je me suis monte un firewall sous redhat avec uptables mais j'ai un probleme car seul les ports
22/80/111/443/1024/8080 sont ouverts et le probleme, c k'il sont ouvert car j'utilise squid que j'ai configuré. Si j'arrete squid je n'ai plus aucun flux. alors j'ai 2 cartes reseaux une eth0 public avec protocol pppoe et une eth1 privée 192.168.0.0.

J'ai appliqué les regles de base iptables mais 'y'a rien a faire meme si j'arrete le firewall grace ou malgre squid j'ai toujours mes connexions internet mais mon firewall ne focnctionne pas.
j'ai installe webmin pour me faciliter la tache via le web.

quelqu'un peut il m'aider ????

merci

[Franck78]

Hello,


Malheureseusement personne ne pourra faire grand chose avec une telle description.

Donnes au minimum ton fichier de commandes Iptables et précises ce que tu attends de tes règles.

Indiques aussi si ton client internet tourne sur le firewall ou sur ne autre machine.

Indiques aussi pourquoi tu ne prends pas un firewall 'ready to go' à la place d'une rh.

bye

[dissident]

alors voici mon fichier iptables
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p udp -m udp -m state -i ppp0 --sport 53 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state -m tcp -i ppp0 --sport 25 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state -m tcp -i ppp0 --sport 110 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -m state -i ppp0 --sport 80 --state ESTABLISHED,RELATED -j DROP
-A FORWARD -m state -i eth1 -o ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state -i eth0 -o ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state -o eth1 -i ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state -i ppp0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp -m state -d 80 -o ppp0 --state NEW,ESTABLISHED,RELATED -j DROP

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT-A OUTPUT -p udp -m udp -m state -o ppp0 --dport 53 --state NEW,RELATED,ESTABLISHED -j ACCEPT-A OUTPUT -p tcp -m tcp -m state -d 25 -o ppp0 --state NEW,ESTABLISHED,RELATED -j ACCEPT
COMMIT
*nat
OSTROUTING ACCEPT [0:0]:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]-A POSTROUTING -o ppp0 -j MASQUERADE
-A OUTPUT -s 192.168.0.0 -j ACCEPT
COMMIT

qu'entends tu par client internet si tu parles du navigateur c sous des postes win sinon pour squid et bien sur la rh

j'ai choisi cette solution pour 2 raisons 1 ) j'ai tester par exemple la version mandrake mnf et mon serveur est un pauvre p200 i386 avec 2 giga ce qui fait que je peux pas installer la version proposer qui tourne sous version i586. sinon si vous avez d'autre propal de firewall "ready to go" ben, give me !!
I'm aware en 2 je bosse toute la journée en rh, donc...
mais ce qui me tarabusque c le fait que si je fais une règle de blocage des ports 80 et bien j'ai toujours acces au web et au ports souligné plus haut ce qui souligne le fait que mon fichier iptables ne sert a rien.
Autre chose je n'ai eu aucun problème pour configurer un acces vpn....
J'ai aussi utiliser shorewall qui m'a donné peu de resultat. y'a un souci soit avec netfilter soit avec un autre fichier parasite ???

En résumé, je m'appuie sur webmin pour la config à distance de mon fw.

Je suis à votre écoute.

merci de votre retour.

[Franck78]

Distri linux Firewall faite pour ça: IPCOP 1.4b3 !!!

C'est la principale distri utilisée pour cette fonction ici

Bizarre ce script. Qui a pondu ça ? On dirait que chaque ligne est dans le désordre !




A INPUT -p udp -m udp -m state -i ppp0 --sport 53 --state RELATED,ESTABLISHED -j ACCEPT

-m udp ???

-A INPUT -p tcp -m state -m tcp -i ppp0 --sport 110 --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp -m state -i ppp0 --sport 80 --state ESTABLISHED,RELATED -j DROP
pas la peine de le jeter....

-A FORWARD -m state -i eth1 -o ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state -i eth0 -o ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
tout peut sortir directement sans controle.


-A FORWARD -m state -o eth1 -i ppp0 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state -i ppp0 -o eth1 --state RELATED,ESTABLISHED -j ACCEPT
pareilles les lignes.....


-A OUTPUT -p tcp -m tcp -m state -d 80 -o ppp0 --state NEW,ESTABLISHED,RELATED -j DROP
????????

[grosbedos]

salu,
je n'ai pas tout lu, mais dès le début ca va pas trop tes regles..

-A INPUT -i ppp0 -j ACCEPT

ici, tu dis que tout ce qui viens du net en direction de ton firewall est accepté !
toutes les regles suivantes ne servent donc a rien
(genre celle la :
-A INPUT -p udp -m udp -m state -i ppp0 --sport 53 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state -m tcp -i ppp0 --sport 25 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state -m tcp -i ppp0 --sport 110 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -m state -i ppp0 --sport 80 --state ESTABLISHED,RELATED -j DROP )


et la tu fait pareil avec ton interface locale :
-A INPUT -i eth1 -j ACCEPT
tout est accepté en entré, pas en forward

je te conseil de reviser iptables, ou d'opter pour ipcop, c'est une bonne soluce peut gourmande (attention de base ipcop ne laisse pas gerer les regles LAN -> WAN)

[dissident]

tout d'abord merci du tuyau pour ipcop sinon je sais que mon fichier iptables ne ressemble à rien en fait j'ai recup. plusieurs exemple et j'ai tout d'abord appliquer des règles simples.
j'ai tellement fait de bidouille que c la $%#&! dans le fichier, en fait l'organisation du fichier à été faite par webmin.
mais je n'ai pas d'impacte car même si je réinitialise les règles j'ai le meme fonctionnement toujours les même ports ouverts, voila pourquoi j'y perd mon latin, comment peut rester ouvert certains ports si je demande à netfilter de tout bloquer et vice versa si je demande l'ouverture de tout mes ports.

Je pense que le mieux est de détruire le fichier iptables, de desinstaller le rpm et de tout réinstaller.

merci de vos retours

[grosbedos]

lol j'avais 5 minutes pi ca m'as fait revisé un peu,

bon ce n'est certainement pas exempt d'erreurs, ni "optimiser", d'ailleurs je n'ai peut etre meme pas bien compris tes besoins

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT #(si c'est vraiment ce que tu veux)

#ne pas oublier que iptables est statefull
#ces regles permettent de ne pas passer par le proxy pour 53,25 et 110

-A FORWARD -p udp -m state -i eth1 -o ppp0 --dport 53 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m state -i eth1 -o ppp0 --dport 25 --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m state -i eth1 -o ppp0 --dport 110 --state NEW,RELATED,ESTABLISHED -j ACCEPT

#je suppose que squid est en mode non-transparent
#ces deux regles sont normalement inutiles...
#la permiere interdit le lan d'acceder au port 80 vers le net (mais vu que FORWARD est en drop par defaut, elle ne sert pas)
#la deuxieme, interdi le firewall (ta redhat) d'acceder au port 80 vers le net

-A FORWARD -p tcp -m state -i eth1 -o ppp0 --dport 80 --state NEW -j DROP
-A OUTPUT -p tcp -m state --dport 80 -o ppp0 --state NEW -j DROP

#no comment
-A POSTROUTING -o ppp0 -j MASQUERADE

COMMIT
*nat
OSTROUTING ACCEPT [0:0]:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]-A POSTROUTING -o ppp0 -j MASQUERADE
-A OUTPUT -s 192.168.0.0 -j ACCEPT
COMMIT

[dissident]

ok je vais essayer !!! merci pour ce retour