Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3028 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [iptables] ma connexion se blo

 
 


Dernière réponse
Sujet : [iptables] ma connexion se blo
PinG tant que c'est pas le clavier qui se blo

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
PinG tant que c'est pas le clavier qui se blo
ethernal no problemo ;)
 
:lol:
un firewall ce fait pas en un jour... dommage...
faut être le plus restrictif possible, mais ça entraine un rallongement affolant du script :(
Il faut veiller aussi à écarter les cas triviaux le plus vite possible (spoof, ip invalides, paquets non valides, fragmentation, ports interdits (genre 6000:6003 pour le XWindow). une fois que c'est fait, ton firewall pourrait rester comme il est sans avoir trop de problème.
 
pour le spoof c assez facile, il faut mettre avant d'accepter quoi que ce soit
# jeter tout ce qui vient d'internet pour ta passerelle et qui prétend avoir : une ip interne, l'ip de lo, ton ip externe.
iptables -A INPUT -i ppp0 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s IPADDR -j DROP
 
# jeter tout ce qui vient d'internet pour ton réseau et qui prétend avoir : une ip interne, l'ip de lo, ton ip externe.
iptables -A FORWARD -i ppp0 -s 192.168.0.0/24 -j DROP
iptables -A FORWARD -i ppp0 -s 127.0.0.0/8 -j DROP
iptables -A FORWARD -i ppp0 -s IPADDR -j DROP
 
ce sera toujours ça de fait ;)
kadreg Le dns fct essentiellement en UDP.
Maintenant, ca marche, merci
 
remarque à propos de tes règles en INPUT:  
étant donné que tu n'as pas spécifié l'interface, si qq spoof ton ip, il a accès à tout ce que tu as autorisé pour tes machines internes... en effet, les paquets provenant du net arrivent en INPUT sur ppp0. (idem pour le FORWARD et OUTPUT)
 
Ah, merci, les docs que je lis n'en parlait pas.
 
je dirais que dans l'état actuel ton firewall est malheureusement loin d'être efficace à 100%....
Il me reste sans doute encore pas mal d'horreur dans les extensions TCP également.
ethernal tu dois aussi accepter de pouvoir faire des connections et accepter le suivi des connection vers le dns de ton provider.  Le dns fct essentiellement en UDP.
pour tes machines internes:
iptables -A FORWARD -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT  
iptables -A FORWARD -s 192.168.1.0/24 -p udp -j ACCEPT  
 
pour ta passerelle:
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT  
 
remarque à propos de tes règles en INPUT:  
étant donné que tu n'as pas spécifié l'interface, si qq spoof ton ip, il a accès à tout ce que tu as autorisé pour tes machines internes... en effet, les paquets provenant du net arrivent en INPUT sur ppp0. (idem pour le FORWARD et OUTPUT)
 
je dirais que dans l'état actuel ton firewall est malheureusement loin d'être efficace à 100%....

 

[edtdd]--Message édité par ethernal--[/edtdd]
kadreg Bonjour,
 
j'ai deux scripts me permettant de fixer des regles iptables et de masquerade.
 
Le premier, rc.routing, qui permet une connexion sans regles :  

Code :
  1. #!/bin/sh
  3. echo effacer toutes les regles
  5. /sbin/iptables -F #vidange des chaines
  6. /sbin/iptables -X #destructions des chaines perso
  7. /sbin/iptables -t nat -F # plop !
  8. /sbin/iptables -t nat -X # re-plop !
  9. /sbin/iptables -F INPUT
  10. /sbin/iptables -F OUTPUT
  11. /sbin/iptables -F FORWARD
  13. #  echo mettre des regles de merde
  14. iptables -P OUTPUT ACCEPT
  15. iptables -P FORWARD ACCEPT
  16. iptables -P OUTPUT ACCEPT
  18. echo Demarrage du NAT
  19. # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  20. # le NAT ne marche pour pour des addresses reconnues
  21. # cad les ip 192.168.1.1 a 192.168.1.10
  22. for i in 1 3 4 5 6 7 8 9 10
  23. do
  24.     iptables -t nat -A POSTROUTING -s 192.168.1.$i -o ppp0 -j MASQUERADE
  25. done
  27. echo 1 > /proc/sys/net/ipv4/ip_forward
  29. echo NAT started


 
Et le second rc.firewall, qui permet d'avoir des regles strictes :  
 

Code :
  1. #!/bin/sh
  3. echo effacer toutes les regles
  5. /sbin/iptables -F #vidange des chaines
  6. /sbin/iptables -X #destructions des chaines perso
  7. /sbin/iptables -t nat -F # plop !
  8. /sbin/iptables -t nat -X # re-plop !
  9. /sbin/iptables -F INPUT
  10. /sbin/iptables -F OUTPUT
  11. /sbin/iptables -F FORWARD
  13. #  echo mettre des regles de merde
  14. #  iptables -P OUTPUT ACCEPT
  15. #  iptables -P FORWARD ACCEPT
  16. #  iptables -P OUTPUT ACCEPT
  18. echo mettre des regles brutales
  19. iptables -P OUTPUT ACCEPT # ma passerrelle est gentille
  20. iptables -P FORWARD DROP # rien ne la traverse
  21. iptables -P INPUT DROP # elle n'accepte rien
  23. export IPADDR=`/sbin/ifconfig ppp0 | grep "inet addr" | cut -d ":" -f 2 | cut  " " -f 1`
  25. # la passerrelle a le droit de se connecter sur elle meme
  26. iptables -A INPUT -s 192.168.1.2/24 -j ACCEPT
  27. iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
  28. iptables -A INPUT -s $IPADDR/24 -j ACCEPT
  31. echo on remet les connexions deja etablies
  32. # je je met pas ca, mes connections se blo
  33. iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
  34. iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
  35. iptables -A OUTPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
  36. iptables -A INPUT -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
  37. iptables -A FORWARD -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
  38. iptables -A OUTPUT -p ICMP -m state --state RELATED,ESTABLISHED -j ACCEPT
  42. # on autorise quelques trucs quand meme en input.
  43. # ssh depuis le reseau local sinon j'aurais l'air con :)
  44. iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j ACCEPT
  46. #connection sur le site web  de rincevent pour tout le monde
  47. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  49. # on a le droit de pinger la passerrelle
  50. iptables -A INPUT -p ICMP -j ACCEPT
  52. #les machines locales ont le droit d'initier des connections
  53. iptables -A FORWARD -s 192.168.1.0/24 -p tcp -j ACCEPT
  54. iptables -A FORWARD -s 192.168.1.0/24 -p ICMP -j ACCEPT
  57. echo Demarrage du NAT
  58. # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  59. # le NAT ne marche pour pour des addresses reconnues
  60. # cad les ip 192.168.1.1 a 192.168.1.10
  61. for i in 1 3 4 5 6 7 8 9 10
  62. do
  63.     iptables -t nat -A POSTROUTING -s 192.168.1.$i -o ppp0 -j MASQUERADE
  64. done
  66. echo 1 > /proc/sys/net/ipv4/ip_forward
  68. echo NAT started


 
Maintenant, j'ai quelques probèmes.
- rc.firewall ne marche pas. Quand je le lance, je peux pinger ma passerrelle, me connecter dessus par ssh, mais j'ai pas moyen d'avoir acces au net (ni ICMP, ni TCP), ni de la passerrelle, ni du reseau.J'arrive pas a comprendre ce qui peut me manquer pour que ca passe.
 
- rc.routing marche, mais si je le lance apres rc.firewall, ma connexion sur la passerelle se blo, mais j'ai accès au net depuis mon client. Je pense qu'il y a des regles que je ne purge pas correctement, mais j'arrive pas a voir ce qui peut manquer.


Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)