[Reseau] IpTables : script de firewalling

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : [Reseau] IpTables : script de firewalling

HuGoBioS

Comme tout le monde commence a le savoir, j'ai enfin reussi a connecter ma passerelle au net, et avoir mes deux cartes reseaux actives, et a router les données !

Mias tous ca est pas vraiment secure donc ... il va falloir mettre en place de vraies regles exigeantes pr le routage !

Je rapelle l'archi du reseau local :

__________________ _______________ _____________
| PC1 Xp & Gentoo| eth1 | Routeur Woody | eth0 | PC2 Win98 |
| 192.168.0.2 |------| 192.168.0.1 |------| 192.168.1.2 |
|__________________| |__192.168.1.1__| |_____________|
|
|Usb: Sagem F@st 800 (eth2)
___|___
| Free |
| Adsl |
| ppp0 |
|_______|

On me dit que mettre les deux carte reseau sur la meme plage d'ip c'est mal ! Je fais quoi alors ?

Le pc2 doit juste pouvoir surfer et prendre des mails
Le pc1 doit pouvoir faire du p2p, du ftp, du netmeeting, lire les mails, utilisé trillian ou son equivalent nux (aim, icq, ...), et surfer biensur, en http et https
Le routeur devra heberger un serveur web (apache+php4+mysql) et mail (lequel ?) ainsi qu'un filtre mail(marre du spam) et peut etre junkbuster !

Je demande pas forcement qu'on me ponde des fihciers totu fait, mais au moins les ports a ouvrir pr les protocoles pas tres connus !

Je sais que je pourrais trouver pas mal de truc en cherchant moi meme, mais je pense que pas mal de monde ici a deja fait des choses se rapprochant de ca alors, comme je suis pris par le tps, je me permet d'abuser ;-)

Merci a tous ! :hello:

Message édité par HuGoBioS le 26-01-2003 à 15:03:46

---------------
-= In Kik00 101 I trust :o =-

Publicité

apolon34

Vive Linux!!

alors le debut de tout script:

on purge les regles !!
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#regles par defaut: drop maintenant que tu es grand
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT (chuis faineant)

#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

moi j'ai cree une regle qui verifie que les paquets sont bien valides. Tu peux ne pas la mettre
iptables -N CHECK_VALID

/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix '[IPTABLES X-max Packet] '
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j DROP
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j LOG --log-prefix '[IPTABLES NULL scan packet] '
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j DROP
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j LOG --log-prefix '[IPTABLES Syn-Fin packet] '
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j DROP
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j LOG --log-prefix '[IPTABLES ACK packet] '
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j LOG --log-prefix '[IPTABLES SYN packet] '
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j REJECT
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j LOG --log-prefix '[IPTABLES FIN packet]'
/usr/sbin/iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j REJECT
/usr/sbin/iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j LOG --log-prefix '[IPTABLES Paquet invalide] '
/usr/sbin/iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j DROP
#/usr/sbin/iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 10/m -j RETURN
#/usr/sbin/iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 1/m -j LOG --log-prefix '[IPTABLES syn flood] '
#/usr/sbin/iptables -A CHECK_VALID -i ppp0 -p tcp --syn -j DROP

#on fait passer tous les paquets par la
iptables -A INPUT -i ppp0 -A CHECK_VALID
iptables -A FORWARD -o eth0 (et eth1 pour toi) -A CHECK_VALID

#on autorise les connections etablies
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state ESTABLISHED -j ACCEPT

#tu autorises l'acces exterieur sur ton serveur web
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

#etc pour les autres services

#on autorise le dns sur la passerelle
iptables -A OUTPUT -o ppp0 -p tcp -d ip_du_dns -j ACCEPT
#idem en udp, et pour les deux dns

je te laisse le soin de completer

HuGoBioS

oky
je vais pouvori me pencher la dessus

Qu'entend tu par on verifie la validité des packets ? Pour etre sur qu'il n'ya pas eu de packets endommagés ou pr augmenter la securité ? Quel serait l'interet de cet verif pr moi ? consommation des ressources sur la machine ?

---------------
-= In Kik00 101 I trust :o =-

apolon34

Vive Linux!!

l'interet c'est d'eviter de recevoir/relayer des paquets pourris

ca evites aussi certaines techniques de scan de port a l'aide de paquets ACK, SYN, FIN, etc...

ca consomme certainement un peu plus de ressources, mais rien d'enorme.

j'ai aussi une protection ping flood (les trois lignes commentees) qui peut bloquer un scan aggressifs apres quelques ports (il verra le reste fermé)

apolon34

Vive Linux!!

si tu te sens d'attaque, tu peux en faire un topic 'officiel' sur netfiler/iptables

a grand renfort de commentaires/explications

les topics sur iptables sont a la mode ces temps ci...

HuGoBioS

Ok merci pr l'explication
je verrai le w-e prochain prle tomic officiel parceque là je suis là pas là semaine...

Mais si j'ai bien tt compris dans une semaine je vous pond un tomci officiel tt detaillé

---------------
-= In Kik00 101 I trust :o =-

e_esprit

Pour les IP, je suis d'accord avec la proposition qui t'as été faite sur ton ancien post :
eth0 => 192.168.0.1, la machine derriere => 192.168.0.2
eth1 => 192.168.1.1, la machine derriere => 192.168.1.2

Ca sera deja plus propre architecturalement parlant.
Et pis ca sera plus simple au nivau de tes regles iptables aussi...

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

HuGoBioS

pkoi pas ... mais qqn peut m'explqiuer ce que ca implique et pkoi ?

Ji'a pas tt compris aux classes / sous classes ...

---------------
-= In Kik00 101 I trust :o =-

e_esprit

HuGoBioS a écrit :

pkoi pas ... mais qqn peut m'explqiuer ce que ca implique et pkoi ?

Ji'a pas tt compris aux classes / sous classes ...

Tout d'abord, c'est d'un point de vue logique...
En effet, tu as d'une certaine facons, deus sous-reseaux differents (pisque pas sur la meme carte de ton routeur/passerelle.

De plus, telle qu'elle, le probleme de ta config et que suppose le deroulement suivant :
1) depuis ta gentoo tu te connecte a Internet sur www.moncochon.com
2) ca passe par ta passerelle qui nat, et met son adresse, et conserve l'adresse de depart pour la reponse
3) le serveur moncochon.com te repond
4) la passerelle recoit le paquet, et remplace l'adresse de destination pour ta gentoo.
5) la passerelle doit maintenant router, et d'apres ta table de routage, elle va trouver ton reseau sur les deux interfaces... donc deux suppositions :
i) elle agit comme un hub et envoit sur les deux sous reseaux (mouais...)
ii) elle envoit que sur la premiere carte, puisqu'elle pense que la seconde est une voie de secours, avec une metrique moins importante (c'est un peu complexe, je sais, mais c'est comme ca...).

Bref, avec ton architecure actuelle, en cas de probleme tu vas t'arracher les cheveux, et pis c'est pas optimal...

Deux solutions :
1) soit decouper en deux sous reseaux comme on t'as dis
2) soit calculer un bon masque de sous reseau pour chacune des cartes au lieu d'utiliser le cassique 255.255.255.0 qui n'est pas correct dans ton cas. Mais bon c'est beaucoup plus complexe a comprendre, alors utilise le 1)

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

HuGoBioS

e_esprit a écrit :

ha d'accord ! J'ai a peu pres compris le truc ! donc en fait une carte par sous reseau, et tout va bien, deux carte dans le mm sous reseau, et la sa part en live sauf cacluls complexe ! Oky ! Merci, j'ai changé ca, et j'ai commencé a mettre les regles en places, je vais essayer de faire ca bien

---------------
-= In Kik00 101 I trust :o =-

Publicité

nikosaka

je suis d'accord avec e_esprit
C est pourquoi je t'avais proposer d'utiliser 2 identifiant réseaux différent (192.168.0.0 et 192.168.1.0), ce sera par la suite beaucoup plus simple à administrer.
Il faudra par contre que tu rajoutes quelques règles pour que les 2 PC de ton LAN puisse communiquer ensemble( concernant les port 137-139 pour un échange de fichier avec samba si tu as un XP par exemple).

Message édité par nikosaka le 19-01-2003 à 18:10:04

HuGoBioS

je vais avoir un 98 ...
et les echanges de fichiers je pense que mon pere s'en passera ;-)

donc si j'ai bien tout compris, si je rajoute une 3eme carte reseau, ca sera 192.168.2.1, ce qui fera un 3eme sous reseau

---------------
-= In Kik00 101 I trust :o =-

e_esprit

HuGoBioS a écrit :

Par exemple...

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

HuGoBioS

mouais okey okey

sur les regles iptables, si j'ai bien compris ke script plus haut :

on accepte tt les cnx deja presentes, par contre, c'est sur new que s'effectuent les restrictions, c'est bien ca?

---------------
-= In Kik00 101 I trust :o =-

nikosaka

c'est ça

HuGoBioS

Bon, je met la premiere version de mon script de firewalling, c'est pas encore tt a fait o point, mais ca avance !

#! /bin/sh
# Firewall par HuGoBosS aidé de Hfr ;-)

case "$1" in
start)
echo -n "On met les regles en place : "
#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#On verifie la validité des paquets (commenté ici car y'a un pb et pas le tps de regarder d'ou ca vient !)
iptables -N CHECK_VALID
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix '[IPTABLES X-max Packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j LOG --log-prefix '[IPTABLES NULL scan packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j LOG --log-prefix '[IPTABLES Syn-Fin packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j LOG --log-prefix '[IPTABLES ACK packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j LOG --log-prefix '[IPTABLES SYN packet] '
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j LOG --log-prefix '[IPTABLES FIN packet]'
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j REJECT
#iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j LOG --log-prefix '[IPTABLES Paquet invalide] '
#iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j DROP

#On se premunti contre les scans
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 10/m -j RETURN
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 1/m -j LOG --log-prefix '[IPTABLES syn flood] '
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -j DROP

#on fait passer tous les paquets par la
#iptables -A INPUT -i ppp0 -A CHECK_VALID
#iptables -A FORWARD -o eth0 -A CHECK_VALID
#iptables -A FORWARD -o eth1 -A CHECK_VALID

#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#on autorise le bordel sur le reseau
#eth1
iptables -A INPUT -s 192.168.0.1/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.1/24 -j ACCEPT

#eth0
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT

#on autorise les connections etablies
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state ESTABLISHED -j ACCEPT

#acces au serveur web
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
#acces au serveurs https
iptables -A INPUT -i ppp0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
#acces au serveur ftp
iptables -A INPUT -i ppp0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
#acces au serveur smtp
iptables -A INPUT -i ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
#acces au serveur pop3
iptables -A INPUT -i ppp0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
#acces au serveur ssh
iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#acces au serveur Aim
iptables -A INPUT -i ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT
#acces au serveur Yahoo
iptables -A INPUT -i ppp0 -p tcp --dport 5050 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5050 -m state --state NEW -j ACCEPT
#acces au serveur Icq
iptables -A INPUT -i ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT
#acces au serveur edk
iptables -A INPUT -i ppp0 -p tcp --dport 4661 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4661 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4661 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4661 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 4242 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4242 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4242 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4242 -m state --state NEW -j ACCEPT

#acces au serveur XXX (a modifier pr rajouter un port)
#iptables -A INPUT -i ppp0 -p tcp --dport XXX -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --dport XXX -m state --state NEW -j ACCEPT

#on autorise le dns sur la passerelle
iptables -A OUTPUT -o ppp0 -p tcp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp -d 213.228.0.168 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 213.228.0.168 -j ACCEPT

echo "Done."
;;
stop)
echo -n "Purge des tables: "
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Done."
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

exit 0

c'est pas forcement tres propre et rigoureux, mais ca prend forme !

Message édité par HuGoBioS le 26-01-2003 à 15:07:44

---------------
-= In Kik00 101 I trust :o =-

apolon34

Vive Linux!!

evites d'utiliser le suivi de connection sur ton port 4662.

ca ne sert a rien, car il doit etre ouvert dans les deux sens, et ca surcharge le systeme pour rien.

HuGoBioS

hummm tu peux detailler j'ai pas bien saisi là ;-)
il est pas ouvert le 4662 c'est 4661 et 4242 que j'ai en accept

sinon, j'aimerai que si on se connecte au routeur sur le port 443 on soit en fait connecté @192.168.0.2:443

quelle est la commande ? merci !

---------------
-= In Kik00 101 I trust :o =-

e_esprit

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 443 -j DN
AT --to 192.168.0.2
iptables -A FORWARD -i ppp0 -o eth1 -p tcp --dport 443 -d 192.
168.0.2 -j ACCEPT

Message édité par e_esprit le 26-01-2003 à 16:03:02

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

apolon34

Vive Linux!!

HuGoBioS a écrit :

si tu ouvres pas le 4662, tu as un lowid assuré !

Message édité par apolon34 le 26-01-2003 à 17:21:57

HuGoBioS

ha bah forcement c pour ca que ca deconnait ! bon suis pas en forme moi ! merci a toi apolon34

---------------
-= In Kik00 101 I trust :o =-

HuGoBioS

Bon, j'ai un peu avancé, mais il me reste un pb pour le ftp : la conneciton passe pas !
Le pb ce situe au niveau d'une regle d'output ... mais laquelle ?

Voici donc un copié/collé de mon /etc/init.d/firewall

#! /bin/sh
# Firewall par HuGoBosS aidé par Hfr !

case "$1" in
start)
echo -n "On met les regles en place : "
#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#On accepte toutes les connexions venant du reseau local
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

####################################
#On verifie la validité des paquets#
####################################
#iptables -N CHECK_VALID
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix '[IPTABLES X-max Packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j LOG --log-prefix '[IPTABLES NULL scan packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j LOG --log-prefix '[IPTABLES Syn-Fin packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j LOG --log-prefix '[IPTABLES ACK packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j LOG --log-prefix '[IPTABLES SYN packet] '
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j LOG --log-prefix '[IPTABLES FIN packet]'
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j REJECT
#iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j LOG --log-prefix '[IPTABLES Paquet invalide] '
#iptables -A CHECK_VALID -i ppp0 -m state --state INVALID -j DROP
#On se premunti contre les scans
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 10/m -j RETURN
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -m limit --limit 1/m -j LOG --log-prefix '[IPTABLES syn flood] '
#iptables -A CHECK_VALID -i ppp0 -p tcp --syn -j DROP
#on fait passer tous les paquets par la
#iptables -A INPUT -i ppp0 -A CHECK_VALID
#iptables -A FORWARD -o eth0 -A CHECK_VALID
#iptables -A FORWARD -o eth1 -A CHECK_VALID

#on autorise les connections etablies
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

#################################
#Ouverture des ports specifiques#
#################################

#acces aux serveurs web
iptables -A INPUT -i ppp0 -p tcp --sport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

#acces aux serveurs https
iptables -A INPUT -i ppp0 -p tcp --sport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 443 -m state --state NEW -j ACCEPT

#acces aux serveurs ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#acces aux serveurs smtp
iptables -A INPUT -i ppp0 -p tcp --sport 25 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT

#acces aux serveurs pop3
iptables -A INPUT -i ppp0 -p tcp --sport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 110 -m state --state NEW -j ACCEPT

#acces aux serveurs ssh
iptables -A INPUT -i ppp0 -p tcp --sport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

#acces aux serveurs Aim
iptables -A INPUT -i ppp0 -p tcp --sport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT

#acces aux serveurs Yahoo
iptables -A INPUT -i ppp0 -p tcp --sport 5050 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5050 -m state --state NEW -j ACCEPT

#acces aux serveurs Icq
iptables -A INPUT -i ppp0 -p tcp --sport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT

#acces au serveur edk
iptables -A INPUT -i ppp0 -p tcp --sport 4661:4665 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4661:4665 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 4661:4665 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4661:4665 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 4242 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4242 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 4242 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4242 -j ACCEPT

#acces au serveur XXX
#iptables -A INPUT -i ppp0 -p tcp --dport XXX -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --sport XXX -m state --state NEW -j ACCEPT

#on autorise le dns sur la passerelle
iptables -A OUTPUT -o ppp0 -p tcp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp -d 213.228.0.168 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 213.228.0.168 -j ACCEPT

echo "Done."
;;
stop)
echo -n "Purge des tables: "
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Done."
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

exit 0

---------------
-= In Kik00 101 I trust :o =-

HuGoBioS

BOn, j'arrive tjs pas a faire passer les connexions sur le port 4662.... je lowid là c reloo !

Message édité par HuGoBioS le 01-02-2003 à 23:41:44

---------------
-= In Kik00 101 I trust :o =-

x540

fenetre8.com

hello
moi aussi j'y arrivais pas. du coup j'ai loggué les refus et j'ai rajouté ces 2 lignes :

iptables -A INPUT -o ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A OUTPUT -i ppp0 -p tcp --sport 4662 -j ACCEPT

(attention je te donne ça de tête)

et du coup ça marche!!!!

ps: si c'est pas ça, dis moi je vérifierai chez moi ce soir!

HuGoBioS a écrit :

BOn, j'arrive tjs pas a faire passer les connexions sur le port 4662.... je lowid là c reloo !

---------------
www.fenetre8.com

x540

fenetre8.com

confirmation:

iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 4662 -j ACCEPT

et ça marche

---------------
www.fenetre8.com

HuGoBioS

oky merci je mettrait ca a jour des que je rentre chez moi ...
ou des que j'ai un acces ssh qui marche !

---------------
-= In Kik00 101 I trust :o =-

zerod

atchoum !

piti drapeau !

fl0ups

東京 - パリ - SLP

J'ai juste lu en diagonale vite fait... mais ... t'es sur que tu n'es pas en train de faire une énorme connerie?

Des règles de ce type tu en as plein:

iptables -A INPUT -i ppp0 -p tcp --sport 80 -m state --state NEW -j ACCEPT

A moins que la fatigue n'altère mon jugement, cette règle = j'autorise tous les paquets qui viennent du port 80.

Bref, il suffit d'envoyer des paquets qui viennent du port 80 pour que ton firewall les laisse passer.

A mon avis, la sécurité c'est une affaire de spécialistes, et si on a pas le temps et l'envie de se plonger completement dedans, il faut faire confiance à ceux qui le font.
Sur freshmeat tu peux trouver des tonnes de scripts de firewalling iptables. Alors certes c'est moins l337 et moins nerd que de le faire soit même, mais a priori tu evites les erreurs de ce type.

Perso j'utilise ce script:
http://rulhmpc57.leidenuniv.nl/pro [...] -firewall/
Qui est un des rares à permettre de natter plusieurs interfaces en standard (si tu prends la 1.73rc1). Ca se configure rapidement avec un fichier de conf tout simple à editer.

Enfin bref à mon humble avis si tu es pas prêt à te documenter abondamment et à passer plusieurs heures à tester ton firewall, utilise un script tout fait.

J'ai entendu parler de shorewall aussi mais jamais essayé.

YupYup

Non.

fl0ups a écrit :

Des règles de ce type tu en as plein:

iptables -A INPUT -i ppp0 -p tcp --sport 80 -m state --state NEW -j ACCEPT

A moins que la fatigue n'altère mon jugement, cette règle = j'autorise tous les paquets qui viennent du port 80.

Oui je me posais la meme question, il me semble que tu as raison.

apolon34

Vive Linux!!

en effet

je suppose que c'est pour l'acces au serveur, et dans ce cas c'est --dport 80

en tout cas floups, je trouve ca bien mieux qu'il se casse le cul a faire son script et a essayer de comprendre ce qu'il fait, plutot que de pomper un truc tout fait !

fl0ups

東京 - パリ - SLP

apolon34 a écrit :

en effet
en tout cas floups, je trouve ca bien mieux qu'il se casse le cul a faire son script et a essayer de comprendre ce qu'il fait, plutot que de pomper un truc tout fait !

niveau sécu aussi c'est bien mieux? :sarcastic:

J'ai envie de faire mon propre OS plutot que de pomper un truc tout fait comme Linux ou windows, des volontaires pour m'aider? :sol:

fl0ups

東京 - パリ - SLP

D'ailleurs partir d'un script fait par un autre n'empêche pas de comprendre comment ça marche. Il suffit de lire les sources, d'essayer de comprendre, et de commencer à modifier en fonction de ses besoins.

La preuve je me suis jamais fait mon propre script iptables de A à Z et j'ai vu tout de suite les nombreux trous du gruyère

Amha en terme de sécurité il faut mieux pas jouer au jedi quand on comprend pas encore à 100% ce qu'on fait.

HuGoBioS

oui je sais y'a des trucs chelou dans ce script, mais je suis en train de me plonger là dedans (le w-e seulement, pas chez moi en semaine) et de comprendre !
Celà dit, vu ce qu'il y a à hacker chez moi, c'est pas grave si pour l'instant mon pc est une passoire ;-)

Mais j'arriverai a faire un truc impec vs en faite pas !

---------------
-= In Kik00 101 I trust :o =-

YupYup

Non.

fl0ups a écrit :

Perso j'utilise ce script:
http://rulhmpc57.leidenuniv.nl/pro [...] -firewall/
Qui est un des rares à permettre de natter plusieurs interfaces en standard (si tu prends la 1.73rc1). Ca se configure rapidement avec un fichier de conf tout simple à editer.

Je viens de tester ce script, et il est franchement impressionnant de simplicite et d'efficacite. L'essayer, c'est l'adopter

HuGoBioS

me revoilà !
J'ai corrigé les histoires de sport, j'ia maintenant ca :

en script :

#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -t nat -P PREROUTING ACCEPT

#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#On accepte toutes les connexions venant du reseau local
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#on autorise les connections etablies
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

#################################
#Ouverture des ports specifiques#
#################################

#on autorise le ping
iptables -A INPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED -j ACCEPT

#acces aux serveurs web
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 80 -m state --state NEW -j ACCEPT

#acces aux serveurs https
iptables -A INPUT -i ppp0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 443 -m state --state NEW -j ACCEPT

#acces aux serveurs ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#acces aux serveurs smtp
iptables -A INPUT -i ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT

#acces aux serveurs pop3
iptables -A INPUT -i ppp0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 110 -m state --state NEW -j ACCEPT

#acces aux serveurs ssh
iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

#acces aux serveurs Aim
iptables -A INPUT -i ppp0 -p tcp --sport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT

#acces aux serveurs Yahoo
iptables -A INPUT -i ppp0 -p tcp --sport 5050 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5050 -m state --state NEW -j ACCEPT

#acces aux serveurs Icq
iptables -A INPUT -i ppp0 -p tcp --sport 5190 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 5190 -m state --state NEW -j ACCEPT

#acces au serveur edk
iptables -A INPUT -i ppp0 -p tcp --sport 4661:4665 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4661:4665 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 4661:4665 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 4661:4665 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 4661:4665 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4661:4665 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 4242 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4242 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 4242 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 4242 -j ACCEPT

#acces au serveur XXX
#iptables -A INPUT -i ppp0 -p tcp --dport XXX -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --sport XXX -m state --state NEW -j ACCEPT

#on autorise le dns sur la passerelle
iptables -A OUTPUT -o ppp0 -p tcp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 212.32.27.5 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp -d 213.228.0.168 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp -d 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 212.32.27.5 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 213.228.0.168 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s 213.228.0.168 -j ACCEPT

Routeur:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT icmp -- anywhere anywhere state NEW,RELATED
ACCEPT tcp -- anywhere anywhere tcp dpt:www state NEW
ACCEPT udp -- anywhere anywhere udp dpt:www state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW
ACCEPT tcp -- anywhere anywhere tcp spt:ftp state ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:pop3 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp spt:5190 state NEW
ACCEPT tcp -- anywhere anywhere tcp spt:5050 state NEW
ACCEPT tcp -- anywhere anywhere tcp spt:5190 state NEW
ACCEPT tcp -- anywhere anywhere tcp spts:4661:4665
ACCEPT tcp -- anywhere anywhere tcp dpts:4661:4665
ACCEPT tcp -- anywhere anywhere tcp spts:4661:4665
ACCEPT udp -- anywhere anywhere udp dpts:4661:4665
ACCEPT udp -- anywhere anywhere udp spts:4661:4665
ACCEPT tcp -- anywhere anywhere tcp spt:4242
ACCEPT udp -- anywhere anywhere udp spt:4242
ACCEPT tcp -- pc4.tet512ipc.ftech.co.uk anywhere
ACCEPT udp -- pc4.tet512ipc.ftech.co.uk anywhere
ACCEPT tcp -- dial-ns1-2.free.fr anywhere
ACCEPT udp -- dial-ns1-2.free.fr anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state ESTABLISHED

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT icmp -- anywhere anywhere state NEW,RELATED
ACCEPT tcp -- anywhere anywhere tcp dpt:www state NEW
ACCEPT udp -- anywhere anywhere udp dpt:www state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data state ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:pop3 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:5190 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:5050 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:5190 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpts:4661:4665
ACCEPT tcp -- anywhere anywhere tcp spts:4661:4665
ACCEPT udp -- anywhere anywhere udp dpts:4661:4665
ACCEPT udp -- anywhere anywhere udp spts:4661:4665
ACCEPT udp -- anywhere anywhere udp dpts:4661:4665
ACCEPT tcp -- anywhere anywhere tcp dpt:4242
ACCEPT udp -- anywhere anywhere udp dpt:4242
ACCEPT tcp -- anywhere pc4.tet512ipc.ftech.co.uk
ACCEPT udp -- anywhere pc4.tet512ipc.ftech.co.uk
ACCEPT tcp -- anywhere dial-ns1-2.free.fr
ACCEPT udp -- anywhere dial-ns1-2.free.fr

et je lowid toujours c'est chiant merdeuh

---------------
-= In Kik00 101 I trust :o =-

HuGoBioS

:cry:

---------------
-= In Kik00 101 I trust :o =-

HJ	Posté le 16-02-2003 à 20:14:16 y a des exemples par ici: http://forum.hardware.fr/forum2.ph [...] h=&subcat= si ça vous interressent

HuGoBioS

[:dirakocha]
merci pr le lien je regarde ca

---------------
-= In Kik00 101 I trust :o =-

black_lord

Modérateur
Truth speaks from peacefulness

jerume

in vinus veritas

drapal

---------------
in vinus veritas

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[Reseau] IpTables : script de firewalling

Sujets relatifs
[Reseau-lu] Le routeur ne route pas ! Maintenant SI !	Suse 8.1: Pb réseau + partage ADSL
script gnome2 samba serveur	Petit script utilisant les permissions du root
Comment régler la vitesse d'une carte réseau sous Mandrake ?	Mandrake 9 / pb partage internet avec iptables
Mon 1er script iptables	Pb de Réseau sous Linux Mandrake
[iptables] un script de 2 ligne qui marche pas
Plus de sujets relatifs à : [Reseau] IpTables : script de firewalling

Page générée en 0.094 secondes