Discussion :

[jelb]

Bonjour,
Nouveau dans le monde de linux, j'essaye de de comprendre ce qui ce passe.
Jai mis en place, mon firewall, mon serveur samba, et mon serveur FTP, mais la connexion de l'extérieur ne marche pas pour FTP:
LAN -> FTP : OK
WAN -> FTP : NON OK
voici le script de firawall.activate que j'ai pompé, mais j'avou ne pas tout comprendre, pourquoi cela ne marche pas ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
 
#!/bin/bash
 
################# SECTION CONFIGURABLE #########################
 
IPTABLES=iptables
PATH="/sbin"
 
## Reseau interne ##
 
OURNET="192.168.0.0/24"
OURCAST="192.168.0.255"
INDEV="eth0"
INDEVIP="192.168.0.254"
PROXYPORT="3128"
 
## Reseau externe ##
 
OUTDEV="eth1"
OUTDEVIP="XXX.XXX.XXX.XXX"
ANYADDR="0/0"
 
## DNS ##
 
PRIMARYDNS="212.27.32.5"
DNSINOUTPORT="53"
 
## Services TCP AUTORISES ##
 
TCPIN="53"
TCPOUT="21 25 53 80 110 443"
 
## Services UDP AUTORISES ##
 
UDPIN="53"
UDPOUT="53"
 
## Services ICMP AUTORISES ##
 
ICMPIN=""
ICMPOUT="3 8 11"
 
## Journalisation ##
 
LOGGING=1
 
 
#################### FIN SECTION CONFIGURABLE ######################
 
 
#################### INIT des regles + SPOOFING/SMURF + on fixe les LOGS #############################
 
## Activation du routage / forwarding
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
 
## ANTI SPOOFING OPTION 1 ##
 
if [ -e /proc/sys/net/ipv4/conf/all/rpfilter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rpfilter
do
echo 1 > $filtre
done
fi
 
## ANTI SPOOFING OPTION 2 ##
 
$IPTABLES -A INPUT $OUNET -i $OUTDEV -j DROP
 
 
## PAS DE ICMP ##
 
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
## on monte quelques modules bien utiles ...
 
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
 
## ON FLUSH TOUTES LES REGLES !!!
 
$IPTABLES -F
$IPTABLES -X
 
## On cree 2 nouvelles chaines pour logguer ce qui ce passe
## avec des prefixes de maniere a s'y retrouver
## D'abord on loggue puis on refuse le paquet
 
$IPTABLES -N LOG_DROP
$IPTABLES -A LOG_DROP -j LOG \
--log-prefix '[IPTABLES DROP] : '
$IPTABLES -A LOG_DROP -j DROP
 
## .... puis on loggue et on accepte le paquet
 
$IPTABLES -N LOG_ACCEPT
$IPTABLES -A LOG_ACCEPT -j LOG \
--log-prefix '[IPTABLES ACCEPT] : '
$IPTABLES -A LOG_ACCEPT -j ACCEPT
 
 
## Politique du DENY ALL => on refuse d'abord tout 
## pour ensuite definir ce qui est autorise :-))
 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
 
## POUR EVITER LES PROBLEMES ON VA TOUT AUTORISER SUR LA MACHINE LOCALE
## NE JAMAIS RETIRER CES REGLES SINON GROS PROBLEMES !!!!!!
 
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
 
########################## FIN INIT DES REGLES #############################
 
 
 
########################### DEBUT REGLES FIREWALL ############################
 
## On autorise tout le traffic sur le reseau local
 
$IPTABLES -A INPUT -s $OURNET -j ACCEPT
$IPTABLES -A OUTPUT -d $OURNET -j ACCEPT
$IPTABLES -A FORWARD -s $OURNET -j ACCEPT
 
## On autorise le traffic DNS en TCP et UDP ##
 
$IPTABLES -A INPUT -i $OUTDEV -p udp --sport $DNSINOUTPORT -j ACCEPT
$IPTABLES -A OUTPUT -o $OUTDEV -p udp --dport $DNSINOUTPORT -j ACCEPT
 
$IPTABLES -A INPUT -i $OUTDEV -p tcp --sport $DNSINOUTPORT -j ACCEPT
$IPTABLES -A OUTPUT -o $OUTDEV -p tcp --dport $DNSINOUTPORT -j ACCEPT
 
## On autorise le PROXY local à accéder directement à Internet ##
 
for port in $TCPOUT ; do
$IPTABLES -A OUTPUT -o $OUTDEV -m state \
--state NEW,ESTABLISHED -p tcp --dport $port -j ACCEPT
 
$IPTABLES -A INPUT -i $OUTDEV -m state \
--state ESTABLISHED -p tcp --sport $port -j ACCEPT
done
 
## Petite astuce pour rendre le proxy transparent au reseau ....
## on forward toutes les requetes de dest. port 80 vers le 3128 local
## une regle NAT suffit
 
#$IPTABLES -t nat -A PREROUTING -i $INDEV -p tcp \
#--dport 80 -j DNAT --to-destination 195.10.10.254:3128
 
## on donne le droit aux machines du LAN d'accéder à Internet librement
 
$IPTABLES -A FORWARD -i $INDEV -o $OUTDEV -j ACCEPT
$IPTABLES -A FORWARD -o $INDEV -i $OUTDEV -j ACCEPT
 
## AUTORISER LE TRANSFERT FTP ##
#olive#####
$IPTABLES -A INPUT -i $OUTDEVIP -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $OUTDEVIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
###########
	## Le serveur distant peut etablir la connexion en mode ACTIF ##
 
$IPTABLES -A INPUT -i $OUTDEV -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $OUTDEV -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
	## Le serveur distant peut etablir la connexion en mode PASSIF ##
 
$IPTABLES -A INPUT -i $OUTDEV -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $OUTDEV -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
## On active le NTP
 
$IPTABLES -A OUTPUT -o $OUTDEV -p udp --dport 123 -j ACCEPT
$IPTABLES -A INPUT -i $OUTDEV -p udp -s 66.187.233.4 --dport 123 -j ACCEPT
 
 
## ici on va MASQUERADER les IP du LAN sur une IP publique routable
## de manière à ce que toute station du LAN puisse être routée sur Internet
 
$IPTABLES -t nat -A POSTROUTING \
-s $OURNET -j MASQUERADE
 
## pour finir, pour les paquets qui ne matchent pas les regles :
## on refuse et on loggue 
 
$IPTABLES -A FORWARD -j LOG_DROP
$IPTABLES -A INPUT -j LOG_DROP
$IPTABLES -A OUTPUT -j LOG_DROP
 
######################### FIN REGLES FIREWALL ################################
 
echo " [ SCRIPT D'APPLICATION DES REGLES DU FIREWALL TERMINE ] "
echo "  "
echo "  "
echo "  "