Bonjour,
J'utilise un serveur linux ubuntu qui fait tourner firebird.
Le client sur les machines Xp est fastcaisse (freeware de gestion de stock)
Sans pare feu , tout fonctionne;
J'ouvre les ports 3050 et 3051 sur le serveur en input (j'ai fait les test tcp et ou udp).
Rien ne fonctionne plus
Je suis contraint de fonctionner sans pare feu:
voici le resultat de mon parefeu (qui autorise aussi un ssh et un samba et la ca fonctionne !)
Merci de toute reponse
Iptables -v -L :
root@sas1:/root# iptables -v -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- !eth0 any anywhere anywhere
0 0 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:domain state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:gds_db state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:3051 state NEW
0 0 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:loc-srv
0 0 ACCEPT udp -- any any anywhere anywhere state NEW udp dpt:loc-srv
0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:netbios-ns
0 0 ACCEPT udp -- any any anywhere anywhere state NEW udp dpt:netbios-ns
0 0 ACCEPT udp -- any any anywhere anywhere state NEW udp dpt:netbios-dgm
0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:netbios-ssn
0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:microsoft-ds
0 0 ACCEPT udp -- any any anywhere anywhere state NEW udp dpt:microsoft-ds
0 0 REJECT tcp -- eth0 any anywhere anywhere reject-with tcp-reset
0 0 REJECT udp -- eth0 any anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 5108 packets, 1073K bytes)
pkts bytes target prot opt in out source destination
###################################script
#!/bin/bash
# Notre script de firewall complement stateful. Ce firewall peut être adapté
# pour un portable, station de travail, routeur ou même un serveur.
# Changez cette variable pour le numéro de l'interface "uplink"
# (connexion vers Internet)
UPLINK="eth0"
# Si vous êtes routeur (et donc souhaitez forwarder les paquets IP entre
# les interfaces), mettez ROUTER="yes"; sinon, ROUTER="no"
ROUTER="no"
# Changez la ligne qui suit vers l'adresse IP statique de votre interface
# uplink pour du SNAT statique, ou "dynamic" si vous avez une IP dynamique.
# Si vous ne voulez pas de NAT, mettez NAT="" pour le désactiver.
NAT=""
# Changez cette ligne pour lister toutes vos interfaces réseau, y compris lo
INTERFACES="lo eth0"
# Changez cette ligne pour lister les numéros de ports ou noms symboliques
# (de /etc/services) de tous les services que vous souhaiter rendre publics.
# Si vous ne souhaitez publiez aucun service, laissez ""
SERVICES="ssh domain 3050 3051"
if [ "$1" = "start" ]
then
echo "Démarrage du firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Activer l'accès publics aux services
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done
iptables -A INPUT -i lo -j ACCEPT
############################# specifique à fastcaisse
# iptables -A INPUT -i eth0 -p TCP --dport 3050 -j ACCEPT
# iptables -A INPUT -i eth0 -p UDP --dport 3050 -j ACCEPT
#
# iptables -A INPUT -i eth0 -p TCP --dport 3051 -j ACCEPT
# iptables -A INPUT -i eth0 -p UDP --dport 3051 -j ACCEPT
# iptables -A OUTPUT -p TCP --dport 3050 -j ACCEPT
# iptables -A OUTPUT -p UDP --dport 3050 -j ACCEPT
# iptables -A OUTPUT -p TCP --dport 3051 -j ACCEPT
#iptables -A OUTPUT -p UDP --dport 3051 -j ACCEPT
############### regles particulière à samba
#Comme nous le montre cette page sur les winports, il faut donc ouvrir les ports 135,137 en TCP et UDP, 138 en UDP, 139 en TCP, et le 445 en TCP et UDP, aussi !
#Ce qui nous donne les règles suivantes :
# EPMAP => définit toutes les RPC !
iptables -A INPUT -m state --state NEW -p TCP --dport 135 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 135 -j ACCEPT
# NetBios-NS
iptables -A INPUT -m state --state NEW -p TCP --dport 137 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 137 -j ACCEPT
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT
# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 445 -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
# Désactivation explicite de l'ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#Protection anti-spoofing
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
# Activation de l'IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
# IP dynamique => masquerading
echo "Activation du masquerading (ip dynamique)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
# IP statique => SNAT
echo "Activation du SNAT (ip statique)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Arrêt du firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#iptables -F OUPUT
#iptables -P OUTPUT ACCEPT
# Arrêt du masquerading
iptables -t nat -F POSTROUTING
fi
Partager