p
u
b
l
i
c
i
t
é
publicité
  1. #1
    Nouveau Membre du Club
    Profil pro
    Inscrit en
    mars 2009
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 94
    Points : 32
    Points
    32

    Par défaut Comprendre ces quelques règles iptables

    Bonjour,

    J'utilise iptables comme firewall. Sans être un utilisateur expert, mes règles sont pour la plupart simples (accepter en INPUT, OUTPUT sur certains ports, bloquer tout le reste sauf les connexions déjà établies).

    Récemment j'ai voulu utiliser transmission pour certains partages, et je me suis rendu compte que iptables bloquait celui-ci (dès que je vidais mes règles iptables plus aucun soucis).

    J'ai donc ajouté des règles trouvées, mais j'aimerais comprendre ce qu'elles font et leur impact :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     
    iptables -I INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
    iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535  -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT
    Je comprend la première mais pas les suivantes.

    L'idée est que j'ai aussi sur mon serveur d'autres applications (Tomcat entre autre) qui écoutent dans la plage 30000:65535. Du coup, je souhaite savoir si mes autres applications peuvent être mis en danger par les connexions entrantes pour transmission.

    Merci

  2. #2
    Responsable Modération
    Avatar de Obsidian
    Homme Profil pro
    Chercheur d'emploi
    Inscrit en
    septembre 2007
    Messages
    5 943
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Chercheur d'emploi
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 5 943
    Points : 16 558
    Points
    16 558

    Par défaut

    Bonjour,

    Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes.

    — La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ;
    — La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ;
    — La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535.

    Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ».

    Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.

Discussions similaires

  1. iptable quelques règles
    Par Etann38 dans le forum Sécurité
    Réponses: 1
    Dernier message: 20/05/2012, 23h12
  2. Validation de mes règles Iptables
    Par kippix dans le forum Sécurité
    Réponses: 2
    Dernier message: 08/11/2006, 10h06
  3. Ce que vous pensez de mes règles iptables
    Par HNT dans le forum Sécurité
    Réponses: 17
    Dernier message: 01/09/2006, 10h25
  4. Besoin d'aide pour traduire ces quelques lignes
    Par sircus dans le forum Syntaxe
    Réponses: 3
    Dernier message: 09/08/2006, 15h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo