samba et IPTABLE

**pcouas** · 12/02/2013, 07h09

Bonjour,

J'ai declaré la regle suivante dans mon IPTABLES, mais impossible d'acceder à SAMBA depuis XP, cela ne fonctionne que si je stop le service iptables.

Code shell :

Sélectionner tout - Visualiser dans une fenêtre à part

 iptables -A INPUT -s 192.168.0.0/24 -p udp -m state --state NEW -m multiport --dports 135,137,138,139,445 -j ACCEPT

Ou est mon oubli ?
Merci d'avance
Phil

**Drone** · 12/02/2013, 09h23

Bonjour, vous ouvrez vos ports seulement en udp :

ports
135,137, 445 en TCP et UDP
138 en UDP
139 en TCP

écrivez plusieurs règles plutôt qu'une seule
Perso je les écris d'abord dans un bloc notes :

Code shell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
#ranger par tcp ou par protocol ici TCP
iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -p TCP --dport 135 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -p TCP --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -p TCP --dport 445 -j ACCEPT
#UDP

...

**pcouas** · 13/02/2013, 07h09

Bonjour,

Cela ne suffit pas
Voici mes regles Iptables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
 
# Generated by iptables-save v1.4.7 on Tue Feb 12 06:38:55 2013
*mangle
:PREROUTING ACCEPT [397:52385]
:INPUT ACCEPT [397:52385]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [683:60906]
:POSTROUTING ACCEPT [151:14222]
COMMIT
# Completed on Tue Feb 12 06:38:55 2013
# Generated by iptables-save v1.4.7 on Tue Feb 12 06:38:55 2013
*nat
:PREROUTING ACCEPT [123:18804]
:POSTROUTING ACCEPT [32:2941]
:OUTPUT ACCEPT [564:49625]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 
COMMIT
# Completed on Tue Feb 12 06:38:55 2013
# Generated by iptables-save v1.4.7 on Tue Feb 12 06:38:55 2013
*filter
:INPUT DROP [24:1152]
:FORWARD DROP [0:0]
:OUTPUT DROP [9:622]
-A INPUT -i lo -j ACCEPT 
-A INPUT -s 192.168.0.0/24 -d 192.168.0.3/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -s 192.168.0.0/24 -d 192.168.0.255/32 -i eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 68 --dport 67 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --sport 25 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -d 192.168.0.3/32 -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -d 192.168.0.3/32 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -d 192.168.0.3/32 -i eth0 -p tcp -m tcp --dport 8270 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -d 192.168.0.3/32 -i eth0 -p udp -m udp --dport 8271 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A INPUT -s 212.27.38.253/32 -i eth0 -p udp -m udp --dport 1024:65535 -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -j LOG --log-prefix "[IN_PKTS_DROP]==> " 
-A INPUT -p tcp -m state --state NEW --dport 135 -j ACCEPT 
-A INPUT -p udp -m state --state NEW --dport 135 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW --dport 137 -j ACCEPT 
-A INPUT -p udp -m state --state NEW --dport 137 -j ACCEPT 
-A INPUT -p udp -m state --state NEW --dport 138 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW --dport 139 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW --dport 445 -j ACCEPT 
-A INPUT -p udp -m state --state NEW --dport 445 -j ACCEPT 
-A FORWARD -j LOG --log-prefix "[FO_PKTS_DROP]==> " 
-A OUTPUT -p icmp -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -s 192.168.0.3/32 -d 192.168.0.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A OUTPUT -s 192.168.0.3/32 -d 192.168.0.255/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A OUTPUT -o eth0 -p tcp -m tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -s 192.168.0.3/32 -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT 
-A OUTPUT -d 212.27.38.253/32 -o eth0 -p udp -m udp --sport 1024:65535 -j ACCEPT 
-A OUTPUT -j LOG --log-prefix "[OU_PKTS_DROP]==> " 
COMMIT
# Completed on Tue Feb 12 06:38:55 2013

Merci d'avance
Phil

**Drone** · 13/02/2013, 10h01

A ouais mais tu bloque aussi en sortie tes règles pour des premiers essais c'est pas simple..
Tu pourrais tester en mettant de coté tes iptables actuels dans un fichier
puis tu flush ces règles là afin de partir de zéro pour tester

Tu peux essayé déjà ça :

Code shell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#connexion établie
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
 
 
#boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#samba
iptables -A INPUT  -i eth0 -p tcp  -m state --state NEW --dport 135 -j ACCEPT 
iptables -A OUTPUT  -o eth0 -p tcp -m state --state RELATED,ESTABLISHED --sport 135  -j ACCEPT
 
iptables -A INPUT  -i eth0 -p udp  -m state --state NEW --dport 135 -j ACCEPT 
iptables -A OUTPUT  -o eth0 -p udp -m state --state RELATED,ESTABLISHED --sport 135  -j ACCEPT
 
iptables -A INPUT -p tcp  -m state --state NEW --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state RELATED,ESTABLISHED --sport 137  -j ACCEPT
 
iptables -A INPUT  -i eth0 -p udp  -m state --state NEW --dport 137 -j ACCEPT 
iptables -A OUTPUT  -o eth0 -p udp -m state --state RELATED,ESTABLISHED --sport 137  -j ACCEPT
 
iptables -A INPUT  -i eth0 -p udp  -m state --state NEW --dport 138 -j ACCEPT
 iptables -A OUTPUT -o eth0 -p udp -m state --state RELATED,ESTABLISHED --sport 138  -j ACCEPT
 
iptables -A INPUT -i eth0-p tcp  -m state --state NEW --dport 139 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m state --state RELATED,ESTABLISHED --sport 139  -j ACCEPT
 
iptables -A INPUT -i eth0 -p tcp  -m state --state NEW --dport 445 -j ACCEPT 
iptables -A OUTPUT -o eth0-p tcp -m state --state RELATED,ESTABLISHED --sport 445  -j ACCEPT
 
iptables -A INPUT -i eth0 -p udp  -m state --state NEW --dport 445 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -m state --state RELATED,ESTABLISHED --sport 445  -j ACCEPT
 
#ntp (j'suis pas sur de sa nécessité mais dans le doute..)
iptables -A INPUT -i eth0 -p udp  -m state --state NEW --dport 23 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m state --state RELATED,ESTABLISHED --sport 23  -j ACCEPT
 
#bloquer le trafic non autorisé
iptables -P INPUT DROP
iptables -P OUTPUT DROP

Bon courage !

**pcouas** · 14/02/2013, 06h33

Bonjour,

Désole, mais cela ne passe pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            ctstate ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:epmap 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:epmap 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:telnet 
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED tcp spt:epmap 
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED udp spt:epmap 
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED tcp spt:netbios-ns 
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED udp spt:netbios-ns 
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED udp spt:netbios-dgm 
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED tcp spt:netbios-ssn 
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED udp spt:microsoft-ds 
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED tcp spt:telnet 
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED tcp spt:telnet

Des que je fais iptables stop, je peux connecter le XP au centos !!

**Drone** · 14/02/2013, 09h29

Bonjour, êtes vous bien sur l'interface eth0 ?
Commencez par simple, et compliquez en précisant au fur et a mesure.
Ne faites pas de drop output pour l'instant

Code shell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 135 -j ACCEPT
iptables -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
 
#un truc auquel j'ai pas pensé LDAP :D
iptables -A INPUT -p tcp --dport 389 -j ACCEPT
iptables -A INPUT -p udp --dport 389 -j ACCEPT
#Et DNS !! 
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
 
iptables -P INPUT DROP
 
#soyons fou si ça marche pas vous pouvez rajouter :
#serveur de temps UDP 123
iptables -A INPUT -p udp --dport 123 -j ACCEPT
#LDAP en SSL
iptables -A INPUT -p tcp --dport 636 -j ACCEPT
#kerberos on est des fous
iptables -A INPUT -p tcp --dport 88 -j ACCEPT
iptables -A INPUT -p udp --dport 88 -j ACCEPT
#RPC
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
#plus spécifique à active directory le catalogue global..
iptables -A INPUT -p tcp --dport 3268 -j ACCEPT
# catalogue global en SSL
iptables -A INPUT -p tcp --dport 3269 -j ACCEPT
 
 
#Et enfin vous pouvez tester avec un ping les interfaces etc..
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT

Have Fun

**pcouas** · 18/02/2013, 12h19

Bonjour,

Merci, sujet resolu.
Phil

samba et IPTABLE

Réseau

Discussions similaires

Partager

Partager