iptables : problème -P INPUT DROP

Version imprimable

Bonjour,

J'ai un problème avec la commande -P INPUT DROP de mon script qui bloque mon accès ssh malgré les règles d'ACCEPT. (ubunutu 12.04)

J'ai regardé de nombreux exemples de scripts qui ne me semblent pas différents, et pourtant...
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 IPT=/sbin/iptables case "$1" in start) # Empty current tables $IPT -F $IPT -X # Drop anything else as default policy $IPT -P INPUT DROP # Don't break current connections $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow SSH (standard port 22) $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # Allow HTTPS (standard port 443) $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT # Allow ICMP (ping) $IPT -A INPUT -i eth0 -p icmp --source xxxxx -j ACCEPT $IPT -A INPUT -i eth0 -p icmp --source yyyyyy -j ACCEPT exit 0 ;;
J'ai également essayé en mettant la commande drop en dernière ligne du script, mais avec le même résultat.

Des idées ?
Merci

07/12/2013, 13h31
becket
Ton DROP met la policy sur la chaine INPUT par défaut. Donc lorsque tu lances ta commandes, il va couper toutes les connections.

Ta ligne 10 dit :
Code:

1 2 # Don't break current connections
Hors, tu autorises certains trafics après avoir donné le comportement par défaut. Dans ce cas, tu couperas toujours les connexions en court.

Pour éviter de faire ce genre de chose, tu dois, commencer par
Code:

1 2 -P INPUT ACCEPT
et terminer ton script par un
Code:

1 2 -P INPUT DROP
09/12/2013, 10h24
manuS

Bonjour,

Merci pour ta réponse.
J'avais bien essayé de mettre le drop en fin de script (et je viens de re-essayer), mais le résultat est le même, la connexion courante est coupée et il n'est plus possible d'ouvrir de nouvelle connexions ensuite.

Est ce que cela peut venir d'un paramétrage particulier de mon hébergement vps ?
L'hébergeur propose un modèle de script sans

Code:

-P INPUT DROP

mais à la place

Code:

IPT -A INPUT -i eth0 -j DROP

Je voulais utiliser la première solution car lorsque j'essaie avec la seconde et que je fais un nmap sur mon ip, il m'indique que des ports (exp: http) sont ouverts alors qu'ils ne le devrait pas.

Merci
10/12/2013, 14h04
becket
tu as commencé ton fichier avec ?
Code:

1 2 -P INPUT ACCEPT

Bonjour,

oui :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#!/bin/sh
# chkconfig: 3 21 91
# description: Firewall
 
IPT=/sbin/iptables
 
case "$1" in
start)
    # Empty current tables
    $IPT -F
    $IPT -X
    # Accept all
    $IPT -P INPUT ACCEPT
    # Don't break current connections
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Allow SSH (standard port 22)
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # Allow HTTPS (standard port 443)
    $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
    # Allow ICMP (ping)
    $IPT -A INPUT -i eth0 -p icmp --source xxxx -j ACCEPT
    $IPT -A INPUT -i eth0 -p icmp --source yyyy -j ACCEPT
    # Drop all other
#    $IPT -A INPUT -i eth0 -j DROP
    # Drop anything else as default policy
    $IPT -P INPUT DROP
exit 0
;;

Citation:
Envoyé par manuS
Bonjour,

J'ai un problème avec la commande -P INPUT DROP de mon script qui bloque mon accès ssh malgré les règles d'ACCEPT. (ubunutu 12.04)

J'ai regardé de nombreux exemples de scripts qui ne me semblent pas différents, et pourtant...
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 IPT=/sbin/iptables case "$1" in start) # Empty current tables $IPT -F $IPT -X # Drop anything else as default policy $IPT -P INPUT DROP # Don't break current connections $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow SSH (standard port 22) $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # Allow HTTPS (standard port 443) $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT # Allow ICMP (ping) $IPT -A INPUT -i eth0 -p icmp --source xxxxx -j ACCEPT $IPT -A INPUT -i eth0 -p icmp --source yyyyyy -j ACCEPT exit 0 ;;
J'ai également essayé en mettant la commande drop en dernière ligne du script, mais avec le même résultat.

Des idées ?
Merci
Bonjour,
Je crois que le problème de ton script vient du fait que tu n'a pas accepté le trafic sur la boucle locale 'lo' et que tu ne laisse pas entrer le trafic sur le port 22 du protocole UDP (facultatif, ça dépends de quel service tu utilise avec ton SSH mais active le) et aussi vérifie que ta chaine OUTPUT laisse sortir les connections des protocoles tcp et upd du port 22

31/12/2013, 10h32
manuS

Merci, je vais essayer tout ça