Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1993 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

iptables et Team speak

n°512417
codi
Posté le 29-06-2004 à 19:05:29  profilanswer
 

Salut,
 
je me suis enfin mis a iptables !!!
 
j'ai presque reussi a faire se que je voulais, mais il me reste un probleme avec Team speak, impossible de se connecter.
 
Sur le net j'ai vu qu'il fallai faire ca :  
iptables -A INPUT -p udp --dport 8767 -j ACCEPT
mais ca ne marche pas :'(.
 
configuration :
 
1 pc connecter au net via ASDL uniquement.
 
le script actuel :
 

Citation :

#!/bin/bash
# on va vider toutes les règles  
iptables -F  
iptables -X
 
 
# Pour accepter tout ce qui se passe sur l'interface lo (sinon ce n'est pas la peine d'activer le réseau !) :  
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT  
 
 
# Pour accepter les résolutions de nom (ie: le dns) :  
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT  
 
 
# Pour accepter le traffic web (on veut surfer en http(80) et https(443))  :  
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 80,443 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic pour ecouter la radio  :  
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 8128,8018,8000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 8128,8018,8000 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic SSH
iptables -A INPUT -i ppp0 --protocol tcp --source-port 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic rsync
iptables -A INPUT -i ppp0 --protocol tcp --source-port 873 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 873 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic IRC
iptables -A INPUT -i ppp0 --protocol tcp --source-port 6667 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le traffic des emails
# smtp(25), pop3(110), imap(143), imap3(220)
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 25,110,143,220 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 25,110,143,220 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# ping (accept les ping vers l'exterieur, mais pas entrant (flood))
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT  
 
 
# Instant messenger
# msn(1863),icq(5190), aim(5190)
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 1863,5190 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 1863,5190 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le protocol ntp (mise a l'heure du system via le net)
iptables -A INPUT -i ppp0 --protocol udp --source-port 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 123 -m state --state NEW,ESTABLISHED -j ACCEPT
 
# enemy territory
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 27960,27950,27951 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 27960,27950,27951 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol udp -m multiport --source-port 27960,27950,27951 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -m multiport --destination-port 27960,27950,27951 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Pour accepter le protocol Torrent
torrent_port="6969,6881,6882,6883,6884,6885,6886,6886,6887,6888,6889"
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port ${torrent_port} -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port ${torrent_port} -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# Team speak
iptables -A INPUT -i ppp0 --protocol tcp -m multiport --source-port 8765,8766,8777 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp -m multiport --destination-port 8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol udp -m multiport --source-port 8767,8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -m multiport --destination-port 8767,8765,8766,8777 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
# tous rejeter (le reste quoi!)
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP


Message édité par codi le 29-06-2004 à 19:09:23
mood
Publicité
Posté le 29-06-2004 à 19:05:29  profilanswer
 

n°512454
fl0ups
東京 - パリ - SLP
Posté le 29-06-2004 à 19:46:15  profilanswer
 

il est bien kasskooye ton firewall, et bien troué en plus
 
On peut scanner ta machine ou se connecter à n'importe lequel de tes ports en utilisant comme source un de tes torrents_port
 
En plus j'imagine bien comme ca doit etre sympa quand tu essayes de te connecter à un serveur irc sur le port 6668, un serveur ET sur le port 27961, un serveur web sur le port 81 ou 8080, à un autre utilisateur de bittorrent qui n'utilise pas un port habituel, etc. etc.


---------------
Fluctuat nec mergitur
n°512455
fl0ups
東京 - パリ - SLP
Posté le 29-06-2004 à 19:47:37  profilanswer
 

et l'ouverture du port 8767 udp sur la machine je pense que c'est juste quand tu heberges un serveur


---------------
Fluctuat nec mergitur
n°512467
codi
Posté le 29-06-2004 à 19:57:28  profilanswer
 

merci
 
je pense bien qu'il y a des trous  :D , je debute!
 
comment faire pour resoudre ca :

Citation :

En plus j'imagine bien comme ca doit etre sympa quand tu essayes de te connecter à un serveur irc sur le port 6668, un serveur ET sur le port 27961, un serveur web sur le port 81 ou 8080, à un autre utilisateur de bittorrent qui n'utilise pas un port habituel, etc. etc.

n°512491
fl0ups
東京 - パリ - SLP
Posté le 29-06-2004 à 21:02:35  profilanswer
 

Je pense que tu n'as pas choisi la bonne logique, surtout pour un pc linux multimedia interactif connecté à internet
 
La tu autorises les services (DNS, www, ...) que tu utilises en entrée et en sortie, et tu bloques tout le reste.
 
C'est la logique firewall personnel sous windows, sauf que la tu n'as pas de fenetre qui apparait te disant que telle application à essayer de se connecter à internet sur tel port.
 
L'autre logique, c'est de tout autoriser en sortie (après tout, y a pas encore de spywares sous linux), et d'utiliser le stateful en retour (-m state --state ESTABLISHED,RELATED -j ACCEPT).
Pour certains services (bittorrent est le seul de ta liste, peut etre msn mais juste pour le transfert de fichiers), tu es obligé d'ouvrir un port, donc tu le fais (--dport 6881 -j ACCEPT).
 
Avec un firewall de ce type, je n'ai aucun probleme pour surfer, me connecter à TS, à msn, irc, ET, etc sans créer de règle particuliere.
 
Mais surtout il faut éviter les énormités comme ton iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
 
Et à part si ça t'amuse particulierement d'ecrire toi meme ton firewall, je te conseille d'utiliser un script tout fait, comme celui ci http://freshmeat.net/projects/iptables-firewall/
(en tout cas moi je l'utilise ;))


---------------
Fluctuat nec mergitur
n°512498
codi
Posté le 29-06-2004 à 21:17:13  profilanswer
 

je te remerci,
 
je vais matter ton lien et sinon revoir l'approche que j'ai fait pour autoriser tout en sortie

n°512849
xSOaDx
Posté le 30-06-2004 à 14:29:20  profilanswer
 

Citation :

iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT


à ce stade passe sous shorewall, c un script de config de iptables qui se présente come un prgm. Il te sera tres utile et l'iface se rapproche d'un d'un fw win32.

n°512864
codi
Posté le 30-06-2004 à 14:40:48  profilanswer
 

Merci, pour l'instant j'ai adopte le script d'Arno


Aller à :
Ajouter une réponse
 

Sujets relatifs
iptables - quelques questionsConfiguration auto du firewall IPTABLES
[MDK10] Iptables n'est pas lancé au démarageune question sur iptables
Enemyterritory et Team Speak probleme de son [Resolu]msn + iptables
Fowarder ports avec iptables 1.2.9[IPTABLES] connection a internet a un proxy comment faire ?
IPtables sous w32 (ou équivalent) ?? 
Plus de sujets relatifs à : iptables et Team speak


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR