Script Iptables

**Jimmy_S** · 13/12/2005, 16h28

Bonjour,

Je suis administrateur réseaux dans mon entreprise, et je suis entrain d'installer une machine sous Lineox. J'ai mis en place plusieurs fonctions (en particulier pour m'en servir après de serveur Samba).

Bref, je suis entrain de configurer Iptables, et je me retrouve bloqué face à plusieurs choses.

Je suis à la recherche d'un fichier iptabbles (/etc/sysconfig/iptables) , qui laisse l'accès à internet.

Quand je mets les deux lignes suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host..
 
-A RH-Firewall-1- OUTPUT -j REJECT --reject-with icmp-host..

En commentaire , cela marche parfaitement. J'aimerai que mon navigateur web , puisse accéder au net , sans laisser ces lignes en commentaire. J'essaye de comprendre le fonctionnement de iptables afin de bien sécuriser la machine.

PS : Ca fait une journée que je suis sur la doc ^^

Sinon , toutes les machines sont sur un routeur , et nous avons un serveur NIS.

Alors que faire ?

**MarcG** · 13/12/2005, 16h42

http://linux.developpez.com/secubook/node38.php
et les nodes suivante
.

**Jimmy_S** · 13/12/2005, 17h35

J'ai raisonné différement , et trouver une autre solution :

J'ai viré les deux dernières lignes (reject all),

Et j'ai mis ceci à la place :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
-A RH-Firewall-1-INPUT -p tcp --destination-port 81:65000 -j REJECT --reject-with icmp-host-prohibited

Visiblement cela ne marche pas ^^.

D'ailleurs je me demande si à la place de TCP il ne faudrait pas mettre udp !

**Jimmy_S** · 14/12/2005, 09h55

Personne pour m'aider ?

**yinyang** · 14/12/2005, 12h24

J'ai un peu de mal à comprendre ce que tu cherches à faire avec Iptables, parce les exemples que tu donnes ne font que bloquer les requêtes en entrée.

Si l'idée est de permettre à partir du Net l'accès des services sur cette machine Linux, il faut que tu bloques tout puis que tu acceptes que certains ports.

Si c'est bien ça, la page fournie par MarcG devrait t'aider.
Sinon, il nous faut un peu plus d'explication

**Jimmy_S** · 14/12/2005, 15h55

Moi ce que je veux :

Sur ma machine (sous Lineox) , je veux avoir accès à internet via firefox , et que tout le reste soit bloqué.

Je veux modifier ça directement dans /etc/sysconfig/iptables , comment dois je faire ?

Seconde question :

Je veux modif mon /etc/sysconfig/iptables pour générer un log des requetes en input/output , et ce que le firewall en fait :-).

Pouvez vous m'aider ?

**yinyang** · 14/12/2005, 18h54

Essaye avec ce qui suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP 
 
iptables -A INPUT  -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept
iptables -A INPUT  -p udp --sport 53 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept
 
iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled packet IN :"
iptables -A OUTPU -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled packet OUT :"

Sauf erreur, cela doit TOUT bloquer et loguer en entrée et en sortie, mais en autorisant les requêtes DNS et WEB.

Pour les logs, cela doit être dans un des fichiers configurés dans /etc/syslog.conf pour récupérer les erreurs Kernel.

Si tu veux quelque chose de plus propre, regarde avec ULOGD.

**Jimmy_S** · 15/12/2005, 10h38

J'ai fait ceci :

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:RH-Firewall-1-INPUT - [0:0]
:RH-Firewall-1-OUTPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -j RH-Firewall-1-OUTP

-A RH-Firewall-1-INPUT -m state --state NEW,RELATED,ESTABLISHED -p tcp --sport 80 -j ACCEPT
-A RH-Firewall-1-OUTPUT -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW,RELATED,ESTABLISHED -p udp --sport 53 -j ACCEPT
-A RH-Firewall-1-OUTPUT -m state --state NEW,RELATED,ESTABLISHED -p udp --dport 53 -j ACCEPT

COMMIT

Mais cela ne marche point =x

**yinyang** · 15/12/2005, 11h47

Essaye déjà les règles Iptables que j'ai donné avec la syntaxe "classique" avant d'utiliser ton fichier de config qui utilise une syntaxe légèrement différente.

Au début des règles, ajoute (cela fait le ménage) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -F
iptables -F -t nat
iptables -X

**Jimmy_S** · 15/12/2005, 12h08

Voici mon /etc/sysconfig/iptables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
 
iptables -F
iptables -F -t nat
iptables -X
 
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -A INPUT  -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept
iptables -A INPUT  -p udp --sport 53 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept
 
iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet IN :"
iptables -A OUTPU -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet OUT :"

Et lorsque je fais un : service iptables restart

J'obtient cette ereur :

Applying iptables firewall rules : iptables-restore : line 1 failed

Que faire ?

**Jimmy_S** · 15/12/2005, 15h37

J'ai fait un script à sourcer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -A INPUT  -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept
iptables -A INPUT  -p udp --sport 53 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept 
 
 
iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet IN :"
iptables -A OUTPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet OUT :"
iptables-save > iptables

Quand je source le script voici les erreurs qui reviennent tout le temps :

Invalid Target Name 'ACCEPT

**Jimmy_S** · 15/12/2005, 16h22

Rajout :

J'ai l'impression que le probleme ne vient pas du contenu (car j'arrive à passer les commandes en terminal et je n'ai aucun probleme.
C'est le fait que cela soit en script qui pause un problème , comment faire pour que ma machine interpetre ce script correctement ?

**Jimmy_S** · 19/12/2005, 11h51

Une petite question :

Quelle est la commande qui permet de voir les ports/protocoles utilisés par les différents programmes sous linux ?

**Katyucha** · 19/12/2005, 12h03

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -ia

te donne de bons éléments.

**Jimmy_S** · 19/12/2005, 12h22

C'est pas vraiment clair de cette manière,
J'aimerai pouvoir voir : -Le port ouvert
-Si c'est en Input ou Output
- Le protocole utilisé
-Et le programme qui utilise ça

**Katyucha** · 19/12/2005, 14h13

Le seul moyen, c'est la doc du programme.

un coup de google avec :

mon_logiciel port

t'aidera surement

Script Iptables

Réseau

Vue hybride

Discussions similaires

Partager

Partager