Script Iptables

Version imprimable

13/12/2005, 16h28
Jimmy_S

Script Iptables
Bonjour,

Je suis administrateur réseaux dans mon entreprise, et je suis entrain d'installer une machine sous Lineox. J'ai mis en place plusieurs fonctions (en particulier pour m'en servir après de serveur Samba).

Bref, je suis entrain de configurer Iptables, et je me retrouve bloqué face à plusieurs choses.

Je suis à la recherche d'un fichier iptabbles (/etc/sysconfig/iptables) , qui laisse l'accès à internet.

Quand je mets les deux lignes suivantes :
Code:

1 2 3 4 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host.. -A RH-Firewall-1- OUTPUT -j REJECT --reject-with icmp-host..
En commentaire , cela marche parfaitement. J'aimerai que mon navigateur web , puisse accéder au net , sans laisser ces lignes en commentaire. J'essaye de comprendre le fonctionnement de iptables afin de bien sécuriser la machine.

PS : Ca fait une journée que je suis sur la doc ^^

Sinon , toutes les machines sont sur un routeur , et nous avons un serveur NIS.

Alors que faire ?
13/12/2005, 16h42
MarcG

http://linux.developpez.com/secubook/node38.php
et les nodes suivante
.
13/12/2005, 17h35
Jimmy_S
J'ai raisonné différement , et trouver une autre solution :

J'ai viré les deux dernières lignes (reject all),

Et j'ai mis ceci à la place :
Code:

1 2 3 -A RH-Firewall-1-INPUT -p tcp --destination-port 81:65000 -j REJECT --reject-with icmp-host-prohibited
Visiblement cela ne marche pas ^^.

D'ailleurs je me demande si à la place de TCP il ne faudrait pas mettre udp !
14/12/2005, 09h55
Jimmy_S

Personne pour m'aider ?
14/12/2005, 12h24
yinyang

J'ai un peu de mal à comprendre ce que tu cherches à faire avec Iptables, parce les exemples que tu donnes ne font que bloquer les requêtes en entrée.

Si l'idée est de permettre à partir du Net l'accès des services sur cette machine Linux, il faut que tu bloques tout puis que tu acceptes que certains ports.

Si c'est bien ça, la page fournie par MarcG devrait t'aider.
Sinon, il nous faut un peu plus d'explication
14/12/2005, 15h55
Jimmy_S

Moi ce que je veux :

Sur ma machine (sous Lineox) , je veux avoir accès à internet via firefox , et que tout le reste soit bloqué.

Je veux modifier ça directement dans /etc/sysconfig/iptables , comment dois je faire ?

Seconde question :

Je veux modif mon /etc/sysconfig/iptables pour générer un log des requetes en input/output , et ce que le firewall en fait :-).

Pouvez vous m'aider ? :oops:

Essaye avec ce qui suit :
Code:

1 2 3 4 5 6 7 8 9 10 11 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept iptables -A INPUT -p udp --sport 53 --state RELATED,ESTABLISHED -j accept iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled packet IN :" iptables -A OUTPU -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled packet OUT :"
Sauf erreur, cela doit TOUT bloquer et loguer en entrée et en sortie, mais en autorisant les requêtes DNS et WEB.

Pour les logs, cela doit être dans un des fichiers configurés dans /etc/syslog.conf pour récupérer les erreurs Kernel.

Si tu veux quelque chose de plus propre, regarde avec ULOGD.

15/12/2005, 10h38
Jimmy_S

J'ai fait ceci :

Citation:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:RH-Firewall-1-INPUT - [0:0]
:RH-Firewall-1-OUTPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -j RH-Firewall-1-OUTP

-A RH-Firewall-1-INPUT -m state --state NEW,RELATED,ESTABLISHED -p tcp --sport 80 -j ACCEPT
-A RH-Firewall-1-OUTPUT -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW,RELATED,ESTABLISHED -p udp --sport 53 -j ACCEPT
-A RH-Firewall-1-OUTPUT -m state --state NEW,RELATED,ESTABLISHED -p udp --dport 53 -j ACCEPT

COMMIT

Mais cela ne marche point =x
15/12/2005, 11h47
yinyang
Essaye déjà les règles Iptables que j'ai donné avec la syntaxe "classique" avant d'utiliser ton fichier de config qui utilise une syntaxe légèrement différente.

Au début des règles, ajoute (cela fait le ménage) :
Code:

1 2 3 iptables -F iptables -F -t nat iptables -X

Voici mon /etc/sysconfig/iptables

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
 
iptables -F
iptables -F -t nat
iptables -X
 
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -A INPUT  -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept
iptables -A INPUT  -p udp --sport 53 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept
 
iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet IN :"
iptables -A OUTPU -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet OUT :"

Et lorsque je fais un : service iptables restart

J'obtient cette ereur :

Citation:

Applying iptables firewall rules : iptables-restore : line 1 failed

Que faire ?

J'ai fait un script à sourcer :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -A INPUT  -p tcp --sport 80 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p tcp --dport 80 --state NEW,RELATED,ESTABLISHED -j accept
iptables -A INPUT  -p udp --sport 53 --state RELATED,ESTABLISHED -j accept
iptables -A OUTPUT -p udp --dport 53 --state NEW,RELATED,ESTABLISHED -j accept 
 
 
iptables -A INPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet IN :"
iptables -A OUTPUT -p all -syn -m limit -limit 5/minute -j LOG -log-prefix "Firewalled2 packet OUT :"
iptables-save > iptables

Quand je source le script voici les erreurs qui reviennent tout le temps :

Invalid Target Name 'ACCEPT

15/12/2005, 16h22
Jimmy_S

Rajout :

J'ai l'impression que le probleme ne vient pas du contenu (car j'arrive à passer les commandes en terminal et je n'ai aucun probleme.
C'est le fait que cela soit en script qui pause un problème , comment faire pour que ma machine interpetre ce script correctement ?
19/12/2005, 11h51
Jimmy_S

Une petite question :

Quelle est la commande qui permet de voir les ports/protocoles utilisés par les différents programmes sous linux ?
19/12/2005, 12h03
Katyucha

Code:

netstat -ia

te donne de bons éléments.
19/12/2005, 12h22
Jimmy_S

C'est pas vraiment clair de cette manière,
J'aimerai pouvoir voir : -Le port ouvert
-Si c'est en Input ou Output
- Le protocole utilisé
-Et le programme qui utilise ça
19/12/2005, 14h13
Katyucha

Le seul moyen, c'est la doc du programme.

un coup de google avec :

Citation:

mon_logiciel port

t'aidera surement