+ Répondre à la discussion
Affichage des résultats 1 à 5 sur 5
  1. #1
    Invité régulier
    Homme Profil pro
    Inscrit en
    octobre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2012
    Messages : 3
    Points : 5
    Points
    5

    Par défaut Iptables - bloquer tout le traffic sortant et ouvrir les port utilisé

    Bonjour

    Je suis nouveau dans le domaine Iptable

    Dans le réseau de test de mon emploi, on essaie de configurer le firewall

    Je veux gérer la connexion pour sortir sur Internet

    Situation :
    je veux bloquer tout le trafic des port TCP et UDP du port Internet mais aussi j'aimerais ça ouvrir certains ports utiles pour le port sortant pour l'Internet (EX : 80 , 5938 , 8801 .....)

    merci

    J'ai essayé ceci mais ça ne fonctionne pas :

    iptables -A OUTPUT -o eth0 -j DROP
    iptables -A OUTPUT -o eth0 -p all -dport 53,80,5900,5901,8801,8802 -j ACCEPT

  2. #2
    Responsable Modération
    Avatar de Obsidian
    Homme Profil pro
    Chercheur d'emploi
    Inscrit en
    septembre 2007
    Messages
    5 515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Chercheur d'emploi
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 5 515
    Points : 14 177
    Points
    14 177

    Par défaut

    Bonjour,

    D'abord, avec iptables, lorsque tu fais un jump avec « -j », tu sautes vers une cible et, donc, tu quittes la liste que tu es en train de vérifier. Ça veut dire qu'il faut que tu places ta ligne « -j DROP » générale après ta ligne « -j ACCEPT » et pas avant.

    Ensuite, il nous faut plus d'infos. En l'état actuel des choses, tu laisses entrer tous les paquets mais tu n'en laisses aucun repartir. Pas sûr que ce soit ce que tu cherches à faire. Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).

    Enfin, les numéros de ports sont définis par les protocoles UDP ou TCP, mais pas par IP lui-même. Il faut donc préciser les protocoles qui t'intéressent.

  3. #3
    Invité régulier
    Homme Profil pro
    Inscrit en
    octobre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2012
    Messages : 3
    Points : 5
    Points
    5

    Par défaut

    Salut


    Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    # Interdire toute connexion entrante et sortante 
    iptables -P INPUT DROP 
    iptables -P FORWARD DROP 
    iptables -P OUTPUT DROP 
     
    # Autoriser RELATED et ESTABLISHED
    # Tuer INVALID 
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state INVALID -j DROP
     
    # Laisser certains types ICMP
    iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
     
    # SSH In 
    iptables -A INPUT -p tcp --dport 2222 -j ACCEPT 
     
    # DNS In/Out 
    iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT 
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
     
    # NTP Out 
    iptables -A OUTPUT -p udp --dport 123 -j ACCEPT 
     
    # NTP In
    iptables -A INPUT -p udp --dport 123 -j ACCEPT
     
    # HTTP + HTTPS In & Out
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
    iptables -A INPUT -p tcp --dport 8443 -j ACCEPT 
     
    # Remote DD-WRT
    iptables -A INPUT -p tcp --dport 9999 -j ACCEPT 
    iptables -A OUTPUT -p tcp --dport 9999 -j ACCEPT
     
     
    # Mail SMTP:25 bidirectionnel
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
    # Mail POP3:110 
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT 
    # Mail IMAP:143 
    iptables -A INPUT -p tcp --dport 143 -j ACCEPT 
    # Mail POP3S:995 
    iptables -A INPUT -p tcp --dport 995 -j ACCEPT
     
     
    #Pour pour le reseaux de test
    #VNC
    iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 5900 -j ACCEPT
    iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 5901 -j ACCEPT
     
    #Team viewer
    iptables -A INPUT -p tcp --dport 5938 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 5938 -j ACCEPT
     
    #Smartservice
    iptables -A INPUT -p tcp --dport 8801 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8801 -j ACCEPT
     
    iptables -A INPUT -p tcp --dport 8802 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8802 -j ACCEPT
     
    iptables -A INPUT -p tcp --dport 8803 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8803 -j ACCEPT
     
    iptables -A INPUT -p tcp --dport 8804 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8804 -j ACCEPT
     
    iptables -A INPUT -p tcp --dport 8808 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8808 -j ACCEPT

  4. #4
    Responsable Modération
    Avatar de Obsidian
    Homme Profil pro
    Chercheur d'emploi
    Inscrit en
    septembre 2007
    Messages
    5 515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Chercheur d'emploi
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 5 515
    Points : 14 177
    Points
    14 177

    Par défaut

    C'est sympa d'avoir posté ta config mais il faudrait déjà que tu répondes aux quelques questions posées dans mon dernier commentaire :

    Citation Envoyé par Obsidian Voir le message
    Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).

    Ensuite, il semble que tu n'aies pas totalement compris comment circule le trafic : par exemple, en UDP vers le DNS, le client (ta machine) interroge le port 53 du serveur distant depuis un port qui lui est propre (et choisi au hasard). En réponse, le serveur DNS répond depuis son port 53 vers ce même port propre. Donc un « --dport 53 » dans les deux sens ne fonctionnera pas. En revanche, les serveurs et client NTP fonctionnent généralement en pair-à-pair et utilisent tous deux le même port.

    Citation Envoyé par Felixthecatz Voir le message
    Salut. Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808
    Connecté à quoi ? Là encore, s'agit-il de se connecter à une machine extérieure ou, au contraire, de laisser le public se connecter à un serveur tournant sur ta machine ?

  5. #5
    Invité régulier
    Homme Profil pro
    Inscrit en
    octobre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2012
    Messages : 3
    Points : 5
    Points
    5

    Par défaut

    Quel est ton objectif précis ? Est-ce que les gens de l'extérieur doivent pouvoir se connecter sur ton serveur sur ces ports précis (par exemple pour héberger un site web) ou bien est-ce les utilisateurs de ce serveur qui ne peuvent appeler que des ports extérieurs précis ? (par exemple pour leur permettre de visiter un site web mais pas de se connecter à un serveur IRC).
    Je suis dans un réseau de test et parfois je loader des databass de client dans un logiciel de sécurité qui a des appareil IP configurer

    Je ne veux pas que qui aille de l'interférence entre mon setup et celle du client

    ces pour ca que je veux barrer les port de communication pour sortir (TCP - UDP)

    mais je veux quand même accéder l'internet (http , team viewer bla bla bla )

    Citation:
    Envoyé par Felixthecatz Voir le message
    Salut. Voici ma config et quand j'utilise ces config je ne peux pas connecter via les port 8801 a 8804 . 8808
    Connecté à quoi ? Là encore, s'agit-il de se connecter à une machine extérieure ou, au contraire, de laisser le public se connecter à un serveur tournant sur ta machine ?
    Et maintenant quand j'utilise la config avec mon ipod je ne peux pas rentrer par le port 8801 pour allez me connecter au setup qui utilise ce port

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •