Iptables configuration qui ne marche pas....

Version imprimable

Salut,

bon ok je sais je suis pas tres doué...
Mon but et de configurer iptables pour accepter uniquement les paquets HTTP, HTTP, XMULE pour mon pc sous linux serveur fedora connecté par ppp0 ainsi qu'aux clients de mon reseau local (192.168.0.0/24)
Voici le script de config iptables que je tente de faire fonctionner :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
 
 
#!/bin/sh
 
# script /etc/firewall.sh
 
# vider toutes les règles
# avant d'appliquer les nouvelles règles de firewall
 
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
 
 
# loguer les paquets refusés
# rajouter un préfixe pour pouvoir
# s'y retrouver dans les logs
 
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG \
  --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
 
# loguer les paquets acceptés  
# rajouter un préfixe pour pouvoir
# s'y retrouver dans les logs
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG \
  --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
 
# Refuser toutes les connexions non-autorisées  
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Accepter traffic local sur lo  
 
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Accepter traffic sur reseau local
iptables -A INPUT -i  eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
 
 
# règles du firewall seront refusées et loguées...
 
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
 
 
####################
###### REGLES ######
####################
 
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4666 -j ACCEPT  
 
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT  -i ppp0 -p tcp --sport 80  -j ACCEPT
iptables -t filter -A INPUT  -i ppp0 -p tcp --sport 443 -j ACCEPT
 
echo " [Termine]"

Resultats : ca marche pas, je ne peux plus surfer....

Une idee?

merci d'avance...

02/02/2004, 17h01
gRRosminet

Est-ce que ca marche en local déjà ? (du firewall vers internet)
02/02/2004, 18h14
The_Nail

non rien ne marche... :x
02/02/2004, 19h15
ovh

A vue de nez très rapide, un truc me saute aux yeux : tu n'as pas pensé au trafic DNS sur le port UDP 53. ;) Ouvre ça et je parie que ça ira déjà mieux ;)

Tu devrais aussi autoriser le trafic ICMP sortant au moins, pour pouvoir faire des tests (ping, traceroute... ).
02/02/2004, 19h37
naili
salut .
pour le DNS ( je suppose que tu utilise celui ton FAI ) il faut ajouter une regle comme le dit bien ovh , donc ca donne en fin de compte qq chose du genre :
Code:

1 2 3 iptables -A INPUT -p tcp -m multiport -dport 80,53,443,4662 -j ACCEPT iptables -A INPUT -p udp -m multiport -dport 53,4666 -j ACCEPT
pour la chaine OUTPUT ta pas besoin de faire des restrinctions a moins que tu veux volonterement bloquer tt autre services a tes clients .
@+

Merci pour votre aide!

J'ai remanié entierement mon script de config iptables en utilisant les etats :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
IPT="iptables"
IFppp="ppp0"
 
### Regles ###
# Reset des tables
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
 
# Bloquer tout le trafic
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
 
# Ne pas filtrer l'interface locale
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
 
# Xmule :
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4666 -j ACCEPT 
 
# ici on autorise les connections sortantes, mais pas les entrantes et les pasuets invalides
$IPT -A OUTPUT -o $IFppp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT  -i $IFppp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT  -i $IFppp -m state --state NEW,INVALID -j DROP
$IPT -A OUTPUT -o $IFppp -m state --state INVALID -j DROP

et ca marche...Par contre pensez vous que c'est reellement secure?

:roll:

03/02/2004, 09h44
ovh
Citation:

Envoyé par The_Nail

et ca marche...Par contre pensez vous que c'est reellement secure?

Oui :) Il n'y a aucun problème, je procède comme ça aussi. Toutes les connexions "cliente" vers internet depuis mon LAN sont autorisées, par contre les connexions entrantes ("serveur") d'internet vers mon LAN sont rejetées, à l'exception bien sûr des services que je décide d'ouvrir au monde extérieur (dans ton cas : Xmule). C'est la meilleure façon de procéder, et c'est sans risque puisque tu bloques tous les ports entrants.

L'avantage de préciser explicitement chaque port est de restreindre les possibilités d'accès à internet depuis ton LAN. Par exemple en entreprise, on veillera à n'autoriser QUE le surf et l'e-mail, et à bloquer tout le reste, pour éviter que les employés aillent chatter ou télécharger à partir de sites FTP par exemple. Un autre avantage aussi est que tu contrôles mieux les applications qui accèdent au net, encore que... si des programmes parasites (spywares, adware... ) utilisent le port 80 (http), iptables laissera passer ce trafic... :roll: Car ça c'est le rôle d'un firewall applicatif, ce que n'est pas iptables (à ma connaissance du moins).

Enfin une remarque : quand on fait une politique par défaut en DROP (ce qui est très bien, c'est ce qu'il faut faire :D), il est inutile de déclarer ensuite des lignes DROP par la suite dans tes règles ! Car le rôle d'une "politique" iptables, c'est justement de définir une règle DROP par défaut. Donc tout ce que tu n'as pas explicitement autorisé est rejeté (drop).
Tu peux donc supprimer :
Code:

1 2 $IPT -A INPUT -i $IFppp -m state --state NEW,INVALID -j DROP $IPT -A OUTPUT -o $IFppp -m state --state INVALID -j DROP
sans souci 8)
03/02/2004, 14h27
The_Nail

Ovh, merci pour toutes ce precisions, je modifie de suite mes configs! :P