Discussion :

[Owyn]

Bonjour,

Voila, j'utilise une petite machine qui est un Sun Cobalt RaQ 550. Ce petit serveur, est spécialement dédié pour l'hébergement pour ceux qui ne connaisse pas, et tourne avec une version Red Hat allégée (pas d'interface graphique, etc.).

J'aimerais en fait pouvoir utiliser IpTables afin de mettre en place un firewall. Cependant, après quelques tests, je n'ai pas réussi à le faire fonctionner... et je ne comprend pas pourquoi.

Je vous donne la table :

[root /root]# iptables -xnvL
Chain INPUT (policy ACCEPT 2039 packets, 183829 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8
2039 183829 acctin all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 1967 packets, 312613 bytes)
pkts bytes target prot opt in out source destination
1967 312613 acctout all -- * * 0.0.0.0/0 0.0.0.0/0

Chain acctin (1 references)
pkts bytes target prot opt in out source destination
120 8375 all -- * * 0.0.0.0/0 127.0.0.1
11 924 all -- * * 0.0.0.0/0 192.168.0.3
1773 154172 all -- * * 0.0.0.0/0 192.168.0.2

Chain acctout (1 references)
pkts bytes target prot opt in out source destination
120 8375 all -- * * 127.0.0.1 0.0.0.0/0
12 1008 all -- * * 192.168.0.3 0.0.0.0/0
1835 303230 all -- * * 192.168.0.2 0.0.0.0/0

Il s'agit de la table par défaut monter à chaque démarrage. J'ai réjouté uniquement le DROP pour icmp avec la commande :

iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP

Mais malheureusement, je continue toujours à le pinger...

Donc je me pose quelques questions :
- Faut-il, après avoir rentrer une règle dans IpTables, redemarrer un service pour l'appliquer, ou bien l'application de la règle se fait-elle automatiquement ?
- A quoi servent les tables acctin et acctout ? J'ai lu qu'elles servaient à faire de l'accounting... mais qu'en est-il exactement ?

Voila, je vous remercie pour vos réponses !

Owyn.

[ovh]

Je te conseille vivement la lecture de ce tutoriel :
http://lea-linux.org/reseau/iptables.html

Quant à tes règles, mieux vaut nous montrer ton fichier de script plutôt que les tables brutes comme ça...

[Owyn]

Je l'avais déjà lu mais une relecteure ne fait jamais de mal

Donc voila, je pense à d'autres infos :
Voici le script d'initialisation de la table d'IpTables. Il faut savoir que je n'ai pas écrit ce script, tout cela est déjà intégré avec le système Cobalt.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# /etc/iptables.conf
# This file is automatically generated by log_traffic.
# Any manual changes will be lost
/usr/bin/iptables -N acctin > /dev/null 2>&1
/usr/bin/iptables -N acctout > /dev/null 2>&1
/usr/bin/iptables -F acctin
/usr/bin/iptables -F acctout
/usr/bin/iptables -I INPUT 1 -j acctin
/usr/bin/iptables -I OUTPUT 1 -j acctout
/usr/bin/iptables -I acctin -d 192.168.0.2/32
/usr/bin/iptables -I acctout -s 192.168.0.2/32
/usr/bin/iptables -I acctin -d 192.168.0.3/32
/usr/bin/iptables -I acctout -s 192.168.0.3/32
/usr/bin/iptables -I acctin -d 127.0.0.1/32
/usr/bin/iptables -I acctout -s 127.0.0.1/32

Donc ces commandes sont exécuté au lancement de l'OS. Concernant les tables 'acctin' et 'acctout' elles servent d'après ce que j'ai pu voir à la génération des pages de statistiques.

Maintenant je vais regarder de plus près ce fameux log_traffic qui est dans cron.hourly... mais ca semble bien complexe.

Owyn.

[ovh]

Voici le script d'initialisation de la table d'IpTables. Il faut savoir que je n'ai pas écrit ce script, tout cela est déjà intégré avec le système Cobalt.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# /etc/iptables.conf
# This file is automatically generated by log_traffic.
# Any manual changes will be lost
/usr/bin/iptables -N acctin > /dev/null 2>&1
/usr/bin/iptables -N acctout > /dev/null 2>&1
/usr/bin/iptables -F acctin
/usr/bin/iptables -F acctout
/usr/bin/iptables -I INPUT 1 -j acctin
/usr/bin/iptables -I OUTPUT 1 -j acctout
/usr/bin/iptables -I acctin -d 192.168.0.2/32
/usr/bin/iptables -I acctout -s 192.168.0.2/32
/usr/bin/iptables -I acctin -d 192.168.0.3/32
/usr/bin/iptables -I acctout -s 192.168.0.3/32
/usr/bin/iptables -I acctin -d 127.0.0.1/32
/usr/bin/iptables -I acctout -s 127.0.0.1/32

Vive les systèmes non standard... Jamais vu de script de ce genre... actin et actout sont visiblement des logs en effet, mais ton script iptables est vraiment très étrange... Pas de politique par défaut, pas de règle concernant l'accès internet, rien que 3 ip (localhost et 2 ip locales) autorisées à communiquer avec ton serveur... étrange étrange...

EDIT : à mon avis ce que tu as reproduit là c'est simplement les instructions qui disent à iptables de logguer tout le trafic pour ces 3 IP et c'est tout. Il doit y avoir un autre fichier contenant les règles du routeur filtrant (firewall).

[Owyn]

Pas de politique par défaut, pas de règle concernant l'accès internet, rien que 3 ip (localhost et 2 ip locales) autorisées à communiquer avec ton serveur... étrange étrange...

EDIT : à mon avis ce que tu as reproduit là c'est simplement les instructions qui disent à iptables de logguer tout le trafic pour ces 3 IP et c'est tout. Il doit y avoir un autre fichier contenant les règles du routeur filtrant (firewall).

Oui en effet. Les adresses IP 192.168.0.2 & 192.168.0.3 sont les 2 interface réseau sur le serveur.
Maintenant concernant un éventuel autre fichier contenant d'autre règles du routeur filtrant, je n'en suis pas si sur. Si on regarde la table que j'ai donné dans mon 1er post, il n'y a absolument rien d'autre dans la table INPUT. Ceci dit, je vais regarder quand meme si je ne trouve pas autre chose.

[ovh]

C'est vrai ça ! Donc ça voudrait dire que ton serveur ne filtre rien du tout pour le moment, il ne fait que logger le trafic qui passe, c'est tout. Il faut que tu te mettes à écrire les règles de filtrage

EDIT : pour le ping qui passe, je crois savoir ce qui ne va pas. Si tu rajoutes cette ligne à la fin du fichier, elle ne sera jamais prise en compte, car iptables prend la première règle qui correspond au paquet. Or pour le moment il accepte TOUT. Donc tu dois d'abord préciser des règles de blocage, et ensuite seulement définir les règles d'acceptation et de log.

[alveric]

Si tu rajoutes cette ligne à la fin du fichier, elle ne sera jamais prise en compte, car iptables prend la première règle qui correspond au paquet. Or pour le moment il accepte TOUT. Donc tu dois d'abord préciser des règles de blocage, et ensuite seulement définir les règles d'acceptation et de log.

Ou alors tu utilises l'option -I d'iptables pour insérer une règle à une position précise dans la chaîne.

[Owyn]

Bien voila... j'y suis :

Je bloquais les requêtes sur eth0, mais en réalité, j'étais physiquement branché sur eth1 (ce n'est pas moi qui avait fait le brannchement). Je pensai être relié au eth0 car pour accéder à l'administration web, je tapais http://192.168.0.2 (configurer sur eth0 donc), qui marchait. Comme quoi, le Cobalt est assez intelligent pour vous afficher l'interface même si vous ne tapez pas la bonne adresse IP sur laquelle vous êtes relié (en clair il fait le basculement a votre insu avec son autre interface).

Bref, en bloquant les requêtes icmp, et en laissant tourner un ping à partir d'un autre poste, j'ai constaté que le Cobalt venait parfois a repondre quand même (vive les systèmes non standard en effet....). D'après ce que j'ai vu voir, le Cobalt fais des maniement dans les règles d'iptables toute les heures (enfin de mettre a jour ses stats à priori), ce qui peut expliquer les retours des echo-request.

En tout cas ma mission avance, c'est déjà une bonne chose !

Owyn.