Discussion :

[olivbarb]

Bonjour,

Je viens d'installer la version 13.10 de Kubuntu et je n'arrives pas à remettre mon script de gestion du parefeu au lancement de kubuntu.
J'ai essayé de le copier dans le dossier /etc/init.d, j'ai essayé via la Configuration du système mais ça ne fonctionne pas
Pourriez-vous m'aider ?
Merci

[demkada]

Salut,
ce que je te conseille, pour que tes scipts iptables, soient cohérent avec ce qui ont trait avec eux, tu ferais mieux de les lancer à chaque démarrage de tes cartes réseaux. Pour cela, si je suppose que ton interface réseau par défaut (celui qui marche toujours et qui est toujours connecté est eth0 alors voici ce que tu dois faire, à la fin des commandes concernant cette interface (dans notre exemple eth0) tu ajoute la restauration de tes scripts dans le fichier /etc/network/interfaces de la sorte:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
iface eth0 
…     
…     
pre-up iptables-restore < /etc/mes_regles_iptables.rules #Chemin vers tes règles

. De la sorte, à chaque fois que tu redémarrera ta machine, les scripts se lanceront automatiquement au démarrage de ton interface principale ce qui peut éviter que les requêtes que devaient traitées iptables n'ont pas été injecté dans le système lors de son démarrage (Car, il peux arrivé que les réseaux démarrent avant les scripts se situant dans init.d et l'avantage, c'est que tant que le réseau démarre, les règles sont appliquées.

PS: Tout ceci suppose que tu a fait un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables-save > /etc/mes_regles_iptables.rules

à partir d'une base règles existantes ssur ton PC, et que tu souhaite te baser sur la sauvegarde de ces règles pour gérer le fonctionnement de iptables

[olivbarb]

Merci de ta réponse mais quand je fais ce que tu m'as dis j'ai un autre soucis : ma session met 2 minutes (montre en main) à s'ouvrir, ce qui est un peu long.
Si je commente la ligne pre-up dans /etc... tout redevient normal.

[demkada]

Ok,
dans ce cas, met la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables-restore < /etc/tes_regles_iptables.rules #Chemin vers tes règles

dans le fichier /etc/rc.local Mais fait attention de faire en sorte que ce fichier finisse par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

exit 0

, si 'exit 0' est déjà présent dans le fichier, met le script avant, s'il n'y est pas ajoute le.

A défaut, tu peux toujours le faire exécuter par /etc/init.d. Pour cela, à la sauvegardes de tes règles tu appliques les commandes ci-dessous de façon séquentielle:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
sudo cp tes_regles_iptables.rules /etc/init.d/
sudo chmod +x /etc/init.d/tes_regles_iptables.rules
sudo update-rc.d tes_regles_iptables.rules defaults

Là, tu as eu toutes les méthodes pour pouvoir rendre ton script exécutable au démarrage, allez retrousse tes manches et tiens moi au courant.

[olivbarb]

Les 2 méthodes paramètrent bien mon parefeu avec les bonnes règles mais l'ouverture de session est toujours aussi longue (2minutes). De plus, je me retrouve avec un bureau vide.
Je retrouve mon bureau et une ouverture de session raisonnable si je supprime la configuration du parefeu au démarrage.

Si ça peut aider voici mon paramétrage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#!/bin/bash
 
iptables -F
 
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
 
#dns
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
iptables -P INPUT DROP
 
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP
 
#exit 0

[demkada]

Remplace les règles de ton script par les suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -j DROP
-A OUTPUT -p icmp -j DROP
COMMIT

C'est le même code que letien mais écris avec la syntaxe d'iptables. Copiele tel quel et tu le met dans un fichier qui s'appelle par exemple "iptables.rules" et dans ton script, tu fait simplement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
#!/bin/bash
iptables-restore < iptables.rules

NB: iptables.rules est le chemin à tes règles et l'objectif est de réduire le nombre d'instruction à 1 dans le script.

[olivbarb]

c'est pas ce que tu m'as dis dans ton premier message ? Et malheureusement l'ouverture de session était tout aussi longue

[olivbarb]

Je pense que mon pb vient de la configuration de mon parefeu. En effet, une fois la session ouverte, dans une console j'ai exécuté la commande suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo bash iptables.sh

dans iptables.sh il y a le code indoqué dans le message ci-dessus

Aucun problème, que ce soit pour aller sur internet ou autre.

J'ai fermé la session puis l'ai réouverte (sans redémarrer le micro, le parefeu était donc toujours actif) et l'ouverture de session est devenue beaucoup plus longue. J'ai donc commenté toutes les lignes présentes dans iptables.sh, j'ai relancé la même commande que ci-dessus puis ai fermé la session et l'ai réouverte et là, magic, plus de lenteur d'ouverture de session.

Mon problème vient, apparemment, de la configuration de mon parefeu. Mais qu'est ce qui cloche ???

[demkada]

Écoute,
dans ce cas, essayes de mettre les deux règles suivantes tout en haut de ton scripts

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Tu le met tout en haut de ton script (les deux premières lignes, mais surtout après la règle 'iptables -F'); l'objectif cette fois ci est d'accepter les connexion en interne au pc.


Met attends un peu là, depuis, ton problème principal a été résolu et tu ne clique pas les bouton "j'aime" sur mes différentes réponses qui ton permit de résoudre le problème de iptables au démarrage? Tu ne m'encourage pas du tout là!

[olivbarb]

Effectivement ca fonctionne mais ça me parait bizarre car quand je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo iptables -L

voici les lignes de la chaine INPUT

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
DROP       icmp --  anywhere             anywhere

Or la 1ere ligne ne signifie pas que tout est autorisé, ce qui est contradictoire avec le DROP ?

Désolé pour les "J'aime", je corrige cela tout de suite

[demkada]

Non, si tu veux voir l’effet des interfaces tu fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -L -v

et tu verra qu'en effet les anywhere concernent uniquement les interfaces de loopback 'lo'

Et n'oublie pas le bouton resolu stp!

Hint: Tu en conviendra avec moi que lorsque un ordinateur démarre, les processus s'envoient des messages via l'interface de loopback! et dans ton ton script, cela était interdit, ce qui pouvait causer des lenteurs que tu as remarqué!
Bonne journnée!

[olivbarb]

Merci beaucoup pour toute l'aide que tu m'as apportée