Comprendre ces quelques règles iptables

Steph0 · 24/10/2012, 12h00

Bonjour,

J'utilise iptables comme firewall. Sans être un utilisateur expert, mes règles sont pour la plupart simples (accepter en INPUT, OUTPUT sur certains ports, bloquer tout le reste sauf les connexions déjà établies).

Récemment j'ai voulu utiliser transmission pour certains partages, et je me suis rendu compte que iptables bloquait celui-ci (dès que je vidais mes règles iptables plus aucun soucis).

J'ai donc ajouté des règles trouvées, mais j'aimerais comprendre ce qu'elles font et leur impact :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
iptables -I INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535  -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT

Je comprend la première mais pas les suivantes.

L'idée est que j'ai aussi sur mon serveur d'autres applications (Tomcat entre autre) qui écoutent dans la plage 30000:65535. Du coup, je souhaite savoir si mes autres applications peuvent être mis en danger par les connexions entrantes pour transmission.

Merci

Obsidian · 24/10/2012, 16h34

Bonjour,

Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes.

— La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ;
— La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ;
— La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535.

Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ».

Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.

24/10/2012, 16h34	#2
Obsidian Modérateur Chercheur d'emploi Inscription : septembre 2007 Messages : 4 610 Détails du profil Informations personnelles : Sexe : Âge : 36 Localisation : France, Essonne (Île de France) Informations professionnelles : Activité : Chercheur d'emploi Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : septembre 2007 Messages : 4 610 Points : 11 065 Points : 11 065	Bonjour, Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes. — La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ; — La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ; — La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535. Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ». Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email