Iptables - bloquer tout le traffic sortant et ouvrir les port utilisé

[Felixthecatz]

Bonjour

Je suis nouveau dans le domaine Iptable

Dans le réseau de test de mon emploi, on essaie de configurer le firewall

Je veux gérer la connexion pour sortir sur Internet

Situation :
je veux bloquer tout le trafic des port TCP et UDP du port Internet mais aussi j'aimerais ça ouvrir certains ports utiles pour le port sortant pour l'Internet (EX : 80 , 5938 , 8801 .....)

merci

J'ai essayé ceci mais ça ne fonctionne pas :

iptables -A OUTPUT -o eth0 -j DROP
iptables -A OUTPUT -o eth0 -p all -dport 53,80,5900,5901,8801,8802 -j ACCEPT

[Obsidian]

Bonjour,

D'abord, avec iptables, lorsque tu fais un jump avec « -j », tu sautes vers une cible et, donc, tu quittes la liste que tu es en train de vérifier. Ça veut dire qu'il faut que tu places ta ligne « -j DROP » générale après ta ligne « -j ACCEPT » et pas avant.

Ensuite, il nous faut plus d'infos. En l'état actuel des choses, tu laisses entrer tous les paquets mais tu n'en laisses aucun repartir. Pas sûr que ce soit ce que tu cherches à faire. Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).

Enfin, les numéros de ports sont définis par les protocoles UDP ou TCP, mais pas par IP lui-même. Il faut donc préciser les protocoles qui t'intéressent.

[Felixthecatz]

Salut


Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
# Interdire toute connexion entrante et sortante 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 
 
# Autoriser RELATED et ESTABLISHED
# Tuer INVALID 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
 
# Laisser certains types ICMP
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
 
# SSH In 
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT 
 
# DNS In/Out 
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT 
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 
# NTP Out 
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT 
 
# NTP In
iptables -A INPUT -p udp --dport 123 -j ACCEPT
 
# HTTP + HTTPS In & Out
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT 
 
# Remote DD-WRT
iptables -A INPUT -p tcp --dport 9999 -j ACCEPT 
iptables -A OUTPUT -p tcp --dport 9999 -j ACCEPT
 
 
# Mail SMTP:25 bidirectionnel
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
# Mail POP3:110 
iptables -A INPUT -p tcp --dport 110 -j ACCEPT 
# Mail IMAP:143 
iptables -A INPUT -p tcp --dport 143 -j ACCEPT 
# Mail POP3S:995 
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
 
 
#Pour pour le reseaux de test
#VNC
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5901 -j ACCEPT
 
#Team viewer
iptables -A INPUT -p tcp --dport 5938 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5938 -j ACCEPT
 
#Smartservice
iptables -A INPUT -p tcp --dport 8801 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8801 -j ACCEPT
 
iptables -A INPUT -p tcp --dport 8802 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8802 -j ACCEPT
 
iptables -A INPUT -p tcp --dport 8803 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8803 -j ACCEPT
 
iptables -A INPUT -p tcp --dport 8804 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8804 -j ACCEPT
 
iptables -A INPUT -p tcp --dport 8808 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8808 -j ACCEPT

[Obsidian]

C'est sympa d'avoir posté ta config mais il faudrait déjà que tu répondes aux quelques questions posées dans mon dernier commentaire :

Citation:

Envoyé par Obsidian

Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).

Ensuite, il semble que tu n'aies pas totalement compris comment circule le trafic : par exemple, en UDP vers le DNS, le client (ta machine) interroge le port 53 du serveur distant depuis un port qui lui est propre (et choisi au hasard). En réponse, le serveur DNS répond depuis son port 53 vers ce même port propre. Donc un « --dport 53 » dans les deux sens ne fonctionnera pas. En revanche, les serveurs et client NTP fonctionnent généralement en pair-à-pair et utilisent tous deux le même port.

Citation:

Envoyé par Felixthecatz

Salut. Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808

Connecté à quoi ? Là encore, s'agit-il de se connecter à une machine extérieure ou, au contraire, de laisser le public se connecter à un serveur tournant sur ta machine ?

[Felixthecatz]

Citation:

Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).

Je suis dans un réseau de test et parfois je loader des databass de client dans un logiciel de sécurité qui a des appareil IP configurer

Je ne veux pas que qui aille de l'interférence entre mon setup et celle du client

ces pour ca que je veux barrer les port de communication pour sortir (TCP - UDP)

mais je veux quand même accéder l'internet (http , team viewer bla bla bla )

Citation:

Citation:
Envoyé par Felixthecatz Voir le message
Salut. Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808
Connecté à quoi ? Là encore, s'agit-il de se connecter à une machine extérieure ou, au contraire, de laisser le public se connecter à un serveur tournant sur ta machine ?

Et maintenant quand j'utilise la config avec mon ipod je ne peux pas rentrer par le port 8801 pour allez me connecter au setup qui utilise ce port