Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 2 sur 2
  1. #1
    Nouveau Membre du Club
    Profil pro Stephen
    Inscrit en
    mars 2009
    Messages
    96
    Détails du profil
    Informations personnelles :
    Nom : Stephen
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 96
    Points : 29
    Points
    29

    Par défaut Comprendre ces quelques règles iptables

    Bonjour,

    J'utilise iptables comme firewall. Sans être un utilisateur expert, mes règles sont pour la plupart simples (accepter en INPUT, OUTPUT sur certains ports, bloquer tout le reste sauf les connexions déjà établies).

    Récemment j'ai voulu utiliser transmission pour certains partages, et je me suis rendu compte que iptables bloquait celui-ci (dès que je vidais mes règles iptables plus aucun soucis).

    J'ai donc ajouté des règles trouvées, mais j'aimerais comprendre ce qu'elles font et leur impact :
    Code :
    1
    2
    3
    4
     
    iptables -I INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
    iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535  -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT
    Je comprend la première mais pas les suivantes.

    L'idée est que j'ai aussi sur mon serveur d'autres applications (Tomcat entre autre) qui écoutent dans la plage 30000:65535. Du coup, je souhaite savoir si mes autres applications peuvent être mis en danger par les connexions entrantes pour transmission.

    Merci

  2. #2
    Modérateur
    Avatar de Obsidian
    Homme Profil pro
    Chercheur d'emploi
    Inscrit en
    septembre 2007
    Messages
    5 226
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Chercheur d'emploi
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 5 226
    Points : 13 084
    Points
    13 084

    Par défaut

    Bonjour,

    Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes.

    — La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ;
    — La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ;
    — La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535.

    Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ».

    Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •