Discussion :

[biglittlekiss]

Bonjour,

Je suis avec IP table depuis toute la journée, et je n'arrive à rien.
Plusieurs format d'affilé car a force je bloque tout.

Ce que je veux faire, c'est:
- Bloquer tous les ports de mon PC
- sauf le port 80, 21,22 et 844
- rendre impossible le ping par un autre PC, tout en laissant mon serveur pouvoir
faire un ping sur d'autres PC

Sauf que je dois mal m'y prendre car ou tout passe, ou alors je n'ai que le ping qui passe...

Bref, prise de tête.

Qui peut m'aider?

Merci d'avance

[gorgonite]

ce que tu veux laisser dispo, c'est bien en sortie ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
#! /bin/sh
 
IPTABLES="iptables"
#### Initialisation
 
# purger iptables
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Politique par defaut : les paquets sont refuses
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
 
# On accepte les paquets reconnus par le moteur d'etat
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
#### Autoriser les connexions sortantes sur un port particulier
 
# exemple: on autorise les connexion ssh sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 22 -j ACCEPT
 
# exemple: on autorise les connexion http sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 80 -j ACCEPT
 
# exemple: on autorise les connexion ftp sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 21 -j ACCEPT
 
# exemple: on autorise les connexion tcp/844 sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 844 -j ACCEPT
 
##### on autorise les ping sortants
$IPTABLES -A OUTPUT -m state --state ! INVALID -p icmp -j ACCEPT
 
 
#### Désactiver le routage
echo 0 > /proc/sys/net/ipv4/ip_forward

[_solo]

il est bien gentil gorgonite de te faire ton iptables , moi j'aurais deja demander de poster ce que tu as fait pour prouver que tu as reellement essayer de faire quelques choses ; sachant que les tutoriels sur iptables pullulent sur le web .

Résultats 1 - 10 sur un total d'environ 1 090 000 pour tutoriels iptable. (0,16 secondes)

[gorgonite]

il est bien gentil gorgonite de te faire ton iptables

j'ai juste fait un copier-coller de ce lien
http://gorgonite.developpez.com/tuto...isations#LII-5

moi j'aurais deja demander de poster ce que tu as fait pour prouver que tu as reellement essayer de faire quelques choses ; sachant que les tutoriels sur iptables pullulent sur le web .

mais toi, tu es mechant...

[troumad]

_solo : ce n'est pas le nombre de réponses qu'il faut voir, mais la pertinance des réponses...
Tu connais Trop d'information tue l'information ? On serait dans ce cas !

Gorgonite ayant répondu, je ne donnerais pas la solution, mais elle se trouve aussi dans http://troumad.info/Linux/linux.odt un document à moi

[biglittlekiss]

Alors j'en suis arrivé à ça, sauf que ça coince encore.

J'ai l'impression que ça ne marche pas car je peux toujours faire un ping...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
 
#!/bin/bash
 
 
###################################
#####Déclaration des variables#####
###################################
 
#Adresse du réseau interne
OURNET="172.16.0.0/16"
#Adresse broadcast du réseau interne
OURBCAST="172.16.255.255"
#Espace d'adresse du réseau externe
ANYADDR="0/0"
#Nom de l'interface vers le réseau externe
EXTDEV="eth0"
 
#Liste des ports TCP autorisés (vide équivaut à tout autoriser)
#Note: voir pour smtp, ftp, ftp-data
#En entrée
TCPIN="www"
#En sortie
TCPOUT="www"
 
#Liest des ports UDP autorisés (vide équivaut à tout autoriser)
#Note: voir pour domain
#En entrée
UDPIN=""
#En sortie
UDPOUT=""
 
#Ecrire dans le journal: 1=écrire ""=rien faire
LOGGING=
 
####################################
###########Implémentation###########
####################################
 
 
#Chargement des modules
#Note Il le faut encore??
#modprobe ip_tables
#modprobe ip_conntrack  #Pour pas traiter la fragmentation
 
#Purger iptables
	#Détruit les règles
iptables -X
iptables -F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUPOUT ACCEPT
iptables -F FORWARD
	#Stratégie par défaut
iptables -P FORWARD DROP
	#Anti-spoof
iptables -A FORWARD -s $OURNET -i $EXTDEV -j DROP
	#Anti-smurf
iptables -A FORWARD -p icmp -i $EXTDEV -d $OURBCAST -j DROP
 
 
 
 
#Politique par défaut: tous les paquets sont refusés
iptables -A INPUT -i $EXTDEV -j DROP
 
 
 
 
#TCP - NOUVELLES CONNEXIONS ENTRANTES
#On accepte toutes les requetes de connexions provenant de l'exterieur
#uniquement sur les ports TCP autorisés
iptables -A FORWARD -i $EXTDEV -d $OURNET -p tcp --syn -m multiport --sports $TCPIN -j ACCEPT
 
#TCP - NOUVELLES CONNEXIONS SORTANTES
#On accepte toutes les requetes de connexions sortantes 
#sur les ports TCP autorisés
#iptables - A FORWARD -i $OURDEV -d $ANYADDR -p tcp --syn -m multiport --dports $TCPOUT -j ACCEPT
 
 
 
 
#UDP - ENTRANT
#On accepte les paquets UDP entrants pour les ports autorisés et les réponses
iptables -A FORWARD -i $EXTDEV -d $OURNET -p udp -m multiport --dports $UDPIN -j ACCEPT
iptables -A FORWARD -i $EXTDEV -s $OURNET -p udp -m multiport --sports $UDPIN -j ACCEPT
 
#UDP - SORTANT
#On accepte les paquets UDP sortants sur les ports autorisés et les réponses
#iptables -A FORWARD -i $OURDEV -d $ANYADDR -p udp -m multiport --dports -j ACCEPT
#iptables -A FORWARD -i $OURDEV -s $ANYADDR -p udp -m multiport --sports $UDPOUT -j ACCEPT
 
 
 
 
 
######################################
############JOURNALISATION############
######################################
 
if ["$LOGGING"]
then
iptables -A FORWARD -p tcp -j LOG	#Pour trafic TCP interdit
iptables -A FORWARD -p udp -j LOG	#Pour trafic UDP interdit
iptables -A FORWARD -p icmp -j LOG	#Pour trafic ICMP interdit
fi

Donc qu'est ce qui va pas ?

Merci

[troumad]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -p icmp -j ACCEPT

pour le ping

[_solo]

et le modprobe n'est plus utile aujourd'hui ...

Tu connais Trop d'information tue l'information ? On serait dans ce cas !

regarde juste les cinq premier liens