Discussion :

[olivbarb]

Bonjour,

Je viens d'installer la version 13.10 de Kubuntu et je n'arrives pas à remettre mon script de gestion du parefeu au lancement de kubuntu.
J'ai essayé de le copier dans le dossier /etc/init.d, j'ai essayé via la Configuration du système mais ça ne fonctionne pas
Pourriez-vous m'aider ?
Merci

[demkada]

Salut,
ce que je te conseille, pour que tes scipts iptables, soient cohérent avec ce qui ont trait avec eux, tu ferais mieux de les lancer à chaque démarrage de tes cartes réseaux. Pour cela, si je suppose que ton interface réseau par défaut (celui qui marche toujours et qui est toujours connecté est eth0 alors voici ce que tu dois faire, à la fin des commandes concernant cette interface (dans notre exemple eth0) tu ajoute la restauration de tes scripts dans le fichier /etc/network/interfaces de la sorte:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
iface eth0 
…     
…     
pre-up iptables-restore < /etc/mes_regles_iptables.rules #Chemin vers tes règles

. De la sorte, à chaque fois que tu redémarrera ta machine, les scripts se lanceront automatiquement au démarrage de ton interface principale ce qui peut éviter que les requêtes que devaient traitées iptables n'ont pas été injecté dans le système lors de son démarrage (Car, il peux arrivé que les réseaux démarrent avant les scripts se situant dans init.d et l'avantage, c'est que tant que le réseau démarre, les règles sont appliquées.

PS: Tout ceci suppose que tu a fait un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables-save > /etc/mes_regles_iptables.rules

à partir d'une base règles existantes ssur ton PC, et que tu souhaite te baser sur la sauvegarde de ces règles pour gérer le fonctionnement de iptables

[olivbarb]

Merci de ta réponse mais quand je fais ce que tu m'as dis j'ai un autre soucis : ma session met 2 minutes (montre en main) à s'ouvrir, ce qui est un peu long.
Si je commente la ligne pre-up dans /etc... tout redevient normal.

[demkada]

Ok,
dans ce cas, met la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables-restore < /etc/tes_regles_iptables.rules #Chemin vers tes règles

dans le fichier /etc/rc.local Mais fait attention de faire en sorte que ce fichier finisse par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

exit 0

, si 'exit 0' est déjà présent dans le fichier, met le script avant, s'il n'y est pas ajoute le.

A défaut, tu peux toujours le faire exécuter par /etc/init.d. Pour cela, à la sauvegardes de tes règles tu appliques les commandes ci-dessous de façon séquentielle:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
sudo cp tes_regles_iptables.rules /etc/init.d/
sudo chmod +x /etc/init.d/tes_regles_iptables.rules
sudo update-rc.d tes_regles_iptables.rules defaults

Là, tu as eu toutes les méthodes pour pouvoir rendre ton script exécutable au démarrage, allez retrousse tes manches et tiens moi au courant.

[olivbarb]

Les 2 méthodes paramètrent bien mon parefeu avec les bonnes règles mais l'ouverture de session est toujours aussi longue (2minutes). De plus, je me retrouve avec un bureau vide.
Je retrouve mon bureau et une ouverture de session raisonnable si je supprime la configuration du parefeu au démarrage.

Si ça peut aider voici mon paramétrage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#!/bin/bash
 
iptables -F
 
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
 
#dns
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
iptables -P INPUT DROP
 
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP
 
#exit 0

[demkada]

Remplace les règles de ton script par les suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -j DROP
-A OUTPUT -p icmp -j DROP
COMMIT

C'est le même code que letien mais écris avec la syntaxe d'iptables. Copiele tel quel et tu le met dans un fichier qui s'appelle par exemple "iptables.rules" et dans ton script, tu fait simplement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
#!/bin/bash
iptables-restore < iptables.rules

NB: iptables.rules est le chemin à tes règles et l'objectif est de réduire le nombre d'instruction à 1 dans le script.

[olivbarb]

c'est pas ce que tu m'as dis dans ton premier message ? Et malheureusement l'ouverture de session était tout aussi longue