configuration d'iptables

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : configuration d'iptables

burgergold

5$? va chez l'diable!

j'ai utilisé le script de base de LFS pour faire mon rc.iptables

j'y ai ajouté l'ouverture du ssh et du port 80/443

par contre, quand je fais un ftp sur une machine, ca se connecte. Je lance une commande (comme ls) et la ca coince
Pourtant ca devrait etre ok puisque la connexion est établie par ma machine nunux

une idée?

#!/bin/sh

# Begin $rc_base/rc.iptables

# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Disable Source Routed Packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Enable TCP SYN Cookie Protection
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Disable ICMP Redirect Acceptance
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Don.t send Redirect Messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Drop Spoofed Packets coming in on an interface, where responses
# would result in the reply going out a different interface.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Log packets with impossible addresses.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# be verbose on dynamic ip-addresses (not needed in case of static IP)
echo 2 > /proc/sys/net/ipv4/ip_dynaddr

# disable Explicit Congestion Notification
# too many routers are still ignorant
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# Set a known state
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# These lines are here in case rules are already in place and the
# script is ever rerun on the fly. We want to remove all rules and
# pre-exisiting user defined chains before we implement new rules.
iptables -F
iptables -X
iptables -Z

iptables -t nat -F

# Allow local-only connections
iptables -A INPUT -i lo -j ACCEPT

# Free output on any interface to any ip for any service
# (equal to -P ACCEPT)
iptables -A OUTPUT -j ACCEPT

# Permit answers on already established connections
# and permit new connections related to established ones
# (e.g. port mode ftp)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Apache
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Log everything else. What's Windows' latest exploitable vulnerability?
iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT "

# End $rc_base/rc.iptables

Publicité

Mjules

Modérateur
Parle dans le vide

passe en mode passif

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

burgergold

5$? va chez l'diable!

y'a moyen de configurer mon client ftp pour qu'il soit en passive par défaut?

Mjules

Modérateur
Parle dans le vide

surement, c'est quoi comme client ?

EDIT : tu voudrais pas utiliser sysctl pour gérer les paramètres de /proc, c'est "plus propre" je trouve

Message édité par Mjules le 24-06-2005 à 17:47:36

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

burgergold

5$? va chez l'diable!

c'est celui par défaut avec la LFS

sysctl? connait pas, jvais regarder ca sur google

yozam

Salut!
En fait le pb vient de ton ta règle
iptables -A OUTPUT -j ACCEPT

Avec ça tu ouvres tout, certes mais du coup conntrack n'enregistre pas l'ouverture de connexion du serveur FTP sur le port 22 vers ton client. Donc quand la réponse revient au serveur le paquet ne matche pas le "RELATED" et le paquet est jeté.

Place
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
avant (voire à la place, c'est mieux)
iptables -A OUTPUT -j ACCEPT

Et ça devrait marcher...

NON en fait je sais pas où j'avais la tête, J'avais dans l'esprit que c'était la config du serveur que tu mettais là... En plus ça marche, YA rien à changer dans cette config! J'ai voulu faire une BA et bam! Je me suis planté, désolé!

Message édité par yozam le 01-07-2005 à 09:31:51

burgergold

5$? va chez l'diable!

ca ne semble rien avoir changé (en remplacant)

yozam

Donc c'est bien le serveur FTP sur lequel tu te connectes qui n'accepte pas le mode ACTIF.
En fait c'est le pare-feux du serveur qui n'ouvre pas de connexion 'RELATED'.

Par contre si le pare-feux du serveur FTP est configuré pour le mode PASSIF, il te suffit de passer ton client FTP en passif:

colinux:~# ftp uml1
Connected to uml1.
220 uml1 FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.
Name (uml1:root):
331 Password required for root.
Password:
230- Linux uml1 2.6.11.11 #1 Wed Jun 8 05:45:22 EDT 2005 i686 unknown
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pas
Passive mode on.
ftp> ls
227 Entering Passive Mode (192,168,10,1,8,0)

150 Opening ASCII mode data connection for '/bin/ls'.

...
...
...

ftp>

Mais ça, tu sais déjà... Pour le mode passif par défaut, il me semble que tu peux créer un fichier .netrc pour créer une macro init exécutée au login... Dans ce cas, il suffirait de placer passive dans cette macro pour être dans ce mode à chaque login sur un serveur FTP. Mais à vérifier car je peux toujours raconter des c***ries

Message édité par yozam le 01-07-2005 à 09:45:56

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

configuration d'iptables

Sujets relatifs
Configuration iptables pour un serveur FTP	[iptables] j'arrive pas à voir ma configuration
Prob de configuration pour iptables	configuration iptables derriere une freebox (résolu)
configuration iptables pour ssh	Configuration auto du firewall IPTABLES
[IPTABLES] Configuration	Configuration d'IPTABLES pour un reseau
configuration IPTABLES	Configuration Firewall, iptables, interfaces graphiques
Plus de sujets relatifs à : configuration d'iptables

Page générée en 0.043 secondes