Comprendre ces quelques règles iptables

Bonjour,

J'utilise iptables comme firewall. Sans être un utilisateur expert, mes règles sont pour la plupart simples (accepter en INPUT, OUTPUT sur certains ports, bloquer tout le reste sauf les connexions déjà établies).

Récemment j'ai voulu utiliser transmission pour certains partages, et je me suis rendu compte que iptables bloquait celui-ci (dès que je vidais mes règles iptables plus aucun soucis).

J'ai donc ajouté des règles trouvées, mais j'aimerais comprendre ce qu'elles font et leur impact :

Code:

---

1 2 3 4

iptables -I INPUT -p tcp -m tcp --dport 51413 -j ACCEPT iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535 -j ACCEPT

---

Je comprend la première mais pas les suivantes.

L'idée est que j'ai aussi sur mon serveur d'autres applications (Tomcat entre autre) qui écoutent dans la plage 30000:65535. Du coup, je souhaite savoir si mes autres applications peuvent être mis en danger par les connexions entrantes pour transmission.

Merci :)

Bonjour,

Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes.

— La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ;
— La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ;
— La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535.

Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ».

Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.