Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2570 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Résolu] IPtables ne se lance pas

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] IPtables ne se lance pas

n°973835
Gavrinis
Open your mind
Posté le 04-11-2007 à 11:06:01  profilanswer
 

Bonjour,
 
J'aimerais installer un firewall sur Debian (sans GUI), j'ai suivis une documentation qui explique pour IPtables mais au résultat ça ne va pas. Mon Deamon IPtables ne se lance pas au démarrage et quand je fais "/etc/init.d/iptables start" j'obtiens cette erreur :

Code :
  1. Exp:~# /etc/init.d/iptables start
  2. -bash: /etc/init.d/iptables: /bin/bash/^M: bad interpreter: Aucun fichier ou répertoire de ce type
  3. Exp:~# ls /etc/init.d/iptables
  4. /etc/init.d/iptables


/etc/iptables_start :

Code :
  1. #!/bin/bash
  2. #
  3. # Variables
  4. #
  5. export IF_RESEAU = "eth0"
  6. export LAN = "192.168.0.0/255.255.255.0"
  7. #
  8. # On efface toutes les règles existantes.
  9. #
  10. iptables -F
  11. #
  12. # On supprime d'éventuelles règles personnelles.
  13. #
  14. iptables -X
  15. #
  16. # Mise en place des règles par defaut (on refuse tout par défault).
  17. #
  18. iptables -P INPUT DROP
  19. iptables -P FORWARD DROP
  20. iptables -P OUTPUT DROP
  21. #
  22. # On accepte les connexions sur la boucle locale (sur lo == 127.0.0.1).
  23. #
  24. iptables -A INPUT -i lo -j ACCEPT
  25. iptables -A OUTPUT -o lo -j ACCEPT
  26. #
  27. # On accepte les connexions depuis le LAN (192.168.0.0).
  28. #
  29. iptables -A INPUT -s $LAN -j ACCEPT
  30. iptables -A OUTPUT -d $LAN -j ACCEPT
  31. #
  32. # On accepte la sortie de certain protocoles (commenter les lignes selon le besoin).
  33. #
  34. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 53 -j ACCEPT # DNS
  35. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 123 -j ACCEPT # NTP
  36. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 139 -j ACCEPT # SMB
  37. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 631 -j ACCEPT # IPP
  38. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 632 -j ACCEPT # Cups SSL
  39. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 902 -j ACCEPT # VMware console
  40. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 8222 -j ACCEPT # VMware WUI (insecure)
  41. iptables -A OUTPUT -o $IF_RESEAU -p UDP --dport 8333 -j ACCEPT # VMware WUI (secure)
  42. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 22 -j ACCEPT # SSH
  43. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 53 -j ACCEPT # DNS
  44. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 139 -j ACCEPT   # SMB
  45. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 631 -j ACCEPT # IPP
  46. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 632 -j ACCEPT # Cups SSL
  47. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 902 -j ACCEPT # VMware console
  48. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 8222 -j ACCEPT # VMware WUI (insecure)
  49. iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport 8333 -j ACCEPT # VMware WUI (secure)
  50. #
  51. # On autorise les connexions déjà établies ou relatives à une autre connexion à sortir.
  52. #
  53. iptables -A OUTPUT -o $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT
  54. #
  55. # On autorise les connexions deja établies à entrer.
  56. #
  57. iptables -A INPUT  -i $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT
  58. #
  59. # On autorise le serveur à pinger des IP extérieur.
  60. #
  61. iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  62. #
  63. # On interdit les autres de pinger le serveur.
  64. #
  65. iptables -A INPUT -p icmp -j DROP
  66. #
  67. # Ecriture de la politique de log.
  68. # Ici on affiche [IPTABLES DROP] dans /var/log/message à chaque paquet rejetté par iptables.
  69. #
  70. iptables -N LOG_DROP
  71. iptables -A LOG_DROP -j LOG --log-level 1 --log-prefix '[IPTABLES DROP]:'
  72. iptables -A LOG_DROP -j DROP
  73. #
  74. # On met en place les logs en entrée, sortie et routage selon la politique LOG_DROP écrit avant.
  75. #
  76. iptables -A FORWARD -j LOG_DROP
  77. iptables -A INPUT -j LOG_DROP
  78. iptables -A OUTPUT -j LOG_DROP
  79. #
  80. # On sauvegarde la configuration de iptables.
  81. #
  82. /etc/init.d/iptables save
  83. #
  84. # On redémarre le service iptable pour prendre en compte la nouvelle configuration.
  85. #
  86. /etc/init.d/iptables restart
  87. #
  88. # Chargement du module de gestion des connexion state (autorisation des connexions déjà établies à passer le firewall).
  89. #
  90. /sbin/modprobe ip_conntrack
  91. #
  92. # Chargement du module spécial pour palier au probleme de connexion FTP passive.
  93. #
  94. /sbin/modprobe ip_conntrack_ftp
  95. ##################################################################################
  96. chmod +x /etc/init.d/firewall.sh


/etc/iptables_stop :

Code :
  1. #!/bin/bash
  2. #
  3. # Table FILTER.
  4. #
  5. iptables -F
  6. iptables -X
  7. iptables -P INPUT   ACCEPT
  8. iptables -P OUTPUT  ACCEPT
  9. iptables -P FORWARD ACCEPT
  10. #
  11. # La table NAT.
  12. #
  13. iptables -t nat -F
  14. iptables -t nat -X
  15. iptables -t nat -P PREROUTING    ACCEPT
  16. iptables -t nat -P POSTROUTING   ACCEPT
  17. iptables -t nat -P OUTPUT        ACCEPT
  18. #
  19. # La table MANGLE.
  20. #
  21. iptables -t mangle -F
  22. iptables -t mangle -X
  23. iptables -t mangle -P PREROUTING    ACCEPT
  24. iptables -t mangle -P INPUT         ACCEPT
  25. iptables -t mangle -P OUTPUT        ACCEPT
  26. iptables -t mangle -P FORWARD       ACCEPT
  27. iptables -t mangle -P POSTROUTING   ACCEPT


 
/etc/init.d/iptables :

Code :
  1. #!/bin/bash
  2. case $1 in
  3. 'start' )
  4. /etc/iptables_start
  5. ;;
  6. 'stop' )
  7. /etc/iptables_stop
  8. ;;
  9. *)
  10. echo "usage: -bash {start|stop}"
  11. ;;
  12. esac


 
Merci d'avance pour votre aide car je ne m'en sors plus :(

Message cité 1 fois
Message édité par Gavrinis le 11-01-2009 à 14:51:46
mood
Publicité
Posté le 04-11-2007 à 11:06:01  profilanswer
 

n°973839
utb diablo
.: :. 4 ever xo0
Posté le 04-11-2007 à 11:19:14  profilanswer
 

ton fichier /etc/init.d/iptables est mal encodé (je pense) edite le avec kate ou un autre editeur et cherche à changer l'encodage des fins de ligne, qui doit être sur Windows, tu met Unix.


Message édité par utb diablo le 04-11-2007 à 11:19:46

---------------
Au royaume des aveugles, les borgnes sont rois xo0
n°973840
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 11:21:34  profilanswer
 

Gavrinis a écrit :

Bonjour,
 
J'aimerais installer un firewall sur Debian (sans GUI), j'ai suivis une documentation qui explique pour IPtables mais au résultat ça ne va pas. Mon Deamon IPtables ne se lance pas au démarrage et quand je fais "/etc/init.d/iptables start" j'obtiens cette erreur : [cpp]Exp:~# /etc/init.d/iptables start
-bash: /etc/init.d/iptables: /bin/bash/^M: bad interpreter: Aucun fichier ou répertoire de ce type


Faut lire les messages.
bad interpreter=> /bin/bash/^M est un mauvais shell
 
A priori tu as édité ce fichier sous windows, tu as des caractères merdique à la fin de chaque ligne.  
=>   /bin/bash/^M
tu peux utiliser dos2unix pour les enlever proprement.  
 
Le truc bizarre c'est le / après bash...
 
normalement c'est /bin/bash


---------------
Relax. Take a deep breath !
n°973860
Gavrinis
Open your mind
Posté le 04-11-2007 à 12:55:17  profilanswer
 

Merci beaucoup c'était bien ça :sweat:  
 
Cependant de nouveaux problèmes sont arrivés :

Code :
  1. Bad argument 'TCP'
  2. Try 'iptables -h' or 'iptables --help' for more information.
  3. Bad argument 'state'
  4. Try 'iptables -h' or 'iptables --help' for more information.

j'ai essayé avec "tcp" (en minuscule) mais rien n'a changé.
 
J'ai cherché sur Google mais je n'ai pas trouvé de solution.
 
 
 
Puis il y a aussi un autre problème qui me pollue mes logs :

Code :
  1. Exp:/etc# [IPTABLES DROP]:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:8f:3a:0a:f3:08:00 SRC=192.168.2.3 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=3980 PROTO=UDP SPT=138 DPT=138 LEN=209
  2. [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.2.6 DST=192.168.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=137 DPT=137 LEN=58

n°973861
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 13:00:10  profilanswer
 

Vérifie que dans le fichier /etc/protocols tu as bien une ligne pour tcp sinon utilise 6 pour tcp et 17 pour udp  ou retrouve un fichier correct. Ce n'est pas explicite dans le man, mais il me semble que c'est en majuscule

 

Essaye -m state


Message édité par o'gure le 04-11-2007 à 13:02:21

---------------
Relax. Take a deep breath !
n°973862
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 13:00:43  profilanswer
 

sinon ton log a priori c'est du trafic SAMBA. Tu dois avoir un service SAMBA (partage de fichier avec des windows entre autre) qui tourne et que tu n'as pas correctement autoriser.


Message édité par o'gure le 04-11-2007 à 13:01:14

---------------
Relax. Take a deep breath !
n°973866
Gavrinis
Open your mind
Posté le 04-11-2007 à 13:11:49  profilanswer
 

Pour ce qui est du "/etc/protocols" il contient déjà tcp en 6 et udp en 17.
 
Pour le 'tcp', oui il est en minuscule dans le man mais comme je l'ai déjà essayé en minuscule et majuscule et que ça ne passe pas, je ne sais plus trop quoi faire.
 
Ton "-m state" je ne sais pas trop où le mettre :sweat: et pour Samba, je vais y regarder de plus près. :)

n°973879
Gavrinis
Open your mind
Posté le 04-11-2007 à 13:52:07  profilanswer
 

Pour le "-m state" c'est Ok j'ai trouvé où le mettre et pour Samba, j'ai beau parcourir différents forums et utiliser différentes manières proposées mais rien ne fait et les erreurs continuent.

n°973885
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 14:02:50  profilanswer
 

En fait c'est pas samba, c'est netbios...
Ben il faut que tu fasses comme pour les autres règles
-o labonneinterface -p udp --dport 137  --sport  137 -m state --state NEW -j ACCEPT
par exemple [:spamafote]


---------------
Relax. Take a deep breath !
n°973888
Gavrinis
Open your mind
Posté le 04-11-2007 à 14:10:46  profilanswer
 

j'avais ajouter ça, mais ça ne passait toujours pas :

Code :
  1. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 135 -j ACCEPT # SMB (EPMAP)
  2. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 137 -j ACCEPT # SMB (NETBIOS Name Service)
  3. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 138 -j ACCEPT # SMB (NETBIOS Datagram Service)
  4. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 445 -j ACCEPT # SMB (patage Samba)
  5. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p tcp --dport 135 -j ACCEPT   # SMB (EPMAP)
  6. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p tcp --dport 137 -j ACCEPT   # SMB (NETBIOS Name Service)
  7. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p tcp --dport 139 -j ACCEPT   # SMB (partage Microsoft)
  8. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p tcp --dport 445 -j ACCEPT # SMB (patage Samba)

donc il faut que j'ajoute "--sport  137" mais ai-je toujours besoin du "-A INPUT" ?

mood
Publicité
Posté le 04-11-2007 à 14:10:46  profilanswer
 

n°973910
Gavrinis
Open your mind
Posté le 04-11-2007 à 14:49:47  profilanswer
 

j'ai fait un :

Code :
  1. iptables -A INPUT -m state --state NEW -o $IF_RESEAU -p tcp --dport 137 --sport 137 -j ACCEPT

mais toujours les mêmes erreurs.

n°973939
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 16:03:56  profilanswer
 

Qu'est ce qui te reste comme erreurs pour l'instant quand tu lances ton script ?
 
Pour le message dans le log, comment as tu rajouté la règle ? apres avoir lancé le script ou dans le script avant la règle pour le LOG ?
 
Si j'étais toi :  
 je rajouterais un -m state --state NEW pour chaque -j ACCEPT (excepté pour le -m stae --state ESTABLISHED,RELATED)


---------------
Relax. Take a deep breath !
n°973964
Gavrinis
Open your mind
Posté le 04-11-2007 à 17:27:54  profilanswer
 

Mon script ne se lance pas tout seul :(.
 
Une fois lançé j'ai droit à des :

Code :
  1. Bad argument 'TCP'
  2. Try 'iptables -h' or 'iptables --help' for more information.
  3. Bad argument 'state'
  4. Try 'iptables -h' or 'iptables --help' for more information.

Puis j'ai toujours les erreurs (les mêmes) qui polluent mes logs.
 
 
Je ne comprends pas ce que tu veux dire par "avant la règle pour le log" :??:.
 
Merci pour le conseil :).

n°973972
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 17:35:55  profilanswer
 

Ben la règle autorisant les paquets à destination du port UDP 137 doit se placer dans ton script avant la règle de logging...


---------------
Relax. Take a deep breath !
n°973992
Gavrinis
Open your mind
Posté le 04-11-2007 à 17:54:50  profilanswer
 

il ne me semble pas avoir de règle de logging :( tout mes scripts en rapport avec IPtables se trouve tout en haut, je n'ai rien de plus

n°973998
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 18:04:58  profilanswer
 

ben si les règles 89, 90, 91. C'est toi qui a fait le script ?
T'as regardé un peu le fonctionnement d'iptables/netfilter ?
regardes un peu http://christian.caleca.free.fr/netfilter.html


---------------
Relax. Take a deep breath !
n°974001
Gavrinis
Open your mind
Posté le 04-11-2007 à 18:07:24  profilanswer
 

ah excuse moi :sweat: non ce n'est pas moi qui ait fait le script, oui j'ai lu plusieurs doc avant d'attaquer le sujet.

n°974002
Gavrinis
Open your mind
Posté le 04-11-2007 à 18:09:39  profilanswer
 

o'gure a écrit :

Ben la règle autorisant les paquets à destination du port UDP 137 doit se placer dans ton script avant la règle de logging...


C'est déjà le cas vu que ma règle ce trouve actuellement en ligne 57 alors que les lignes de logs vont de 113 à 115.

n°974005
Gavrinis
Open your mind
Posté le 04-11-2007 à 18:26:54  profilanswer
 

Je pense que je vais abandonner ce script et utiliser celui d'Alexis de Lattre, mais je réemploierai tout de même certaines règles de celui-ci :)

n°974008
Gavrinis
Open your mind
Posté le 04-11-2007 à 18:42:53  profilanswer
 

Je me demande si je ne travaillais pas à l'envers, je mettais des OUTPUT alors qu'il me parait plus logique de mettre des INPUT.
 
Pourrais-je avoir une confirmation s'il vous plaît ?

n°974015
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 18:55:07  profilanswer
 

Ca depend ce que tu veux faire, du niveau de sécu que tu veux, du rôle du firewall.
 
Généralement on ouvre en input pour des services qu'on héberge, et en output pour du trafic qu'on génère depuis le firewall.
 
[:spamafote]


---------------
Relax. Take a deep breath !
n°974022
Gavrinis
Open your mind
Posté le 04-11-2007 à 19:01:48  profilanswer
 

D'accord merci, tout compte fait je ne passe pas sur celui d'Alexis de Lattre, je ne fais qu'ajouter ces règles supplémentaires aux miennes.
 
Je vais passer le nécessaire en INPUT alors, une fois terminé je le testerai et reposterai le script

n°974031
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 19:30:58  profilanswer
 

par passer le nécessaire en INPUT tu veux dire que pour un flux par exemple HTTP sur le port 80 de n'importe quel serveur sur internet tu vas mettre 2 règles ?
 
oublie et regarde mieux ce que fais le match state, il te suffit de passer le premier paquet par ce match en --state NEW et le reste est automatiquement autorisé via -- state ESTABLISHED.


---------------
Relax. Take a deep breath !
n°974036
Gavrinis
Open your mind
Posté le 04-11-2007 à 19:44:46  profilanswer
 

oui je sais c'est ce que j'ai fait :)

n°974044
Gavrinis
Open your mind
Posté le 04-11-2007 à 20:11:34  profilanswer
 

Voici le nouveau script :

Code :
  1. #!/bin/bash
  2. ############################################################################
  3. #
  4. # Variables
  5. #
  6. export IF_RESEAU = "eth0"
  7. export LAN = "192.168.2.0/255.255.255.0"
  8. #
  9. # On efface toutes les règles existantes.
  10. #
  11. iptables -F
  12. #
  13. # On supprime d'éventuelles règles personnelles.
  14. #
  15. iptables -X
  16. #
  17. # Mise en place des règles par defaut (on refuse tout par défault).
  18. #
  19. iptables -P INPUT DROP
  20. iptables -P FORWARD DROP
  21. iptables -P OUTPUT DROP
  22. #
  23. # On accepte les connexions sur la boucle locale (sur lo == 127.0.0.1).
  24. #
  25. iptables -A INPUT -i lo -j ACCEPT
  26. iptables -A OUTPUT -o lo -j ACCEPT
  27. #
  28. # On accepte les connexions depuis le LAN (192.168.2.0).
  29. #
  30. iptables -A INPUT -m state --state NEW -s $LAN -j ACCEPT
  31. iptables -A OUTPUT -m state --state NEW -d $LAN -j ACCEPT
  32. #
  33. # On interdit les autres à pinger le serveur.
  34. #
  35. iptables -A INPUT -p icmp -j DROP
  36. #
  37. # On interdit le protocole IGMP (multicast).
  38. #
  39. iptables -A INPUT -p igmp -j DROP
  40. #
  41. # On autorise le serveur à pinger des IP extérieur.
  42. #
  43. iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  44. #
  45. # On autorise les connexions déjà établies ou relatives à une autre connexion à sortir.
  46. #
  47. iptables -A OUTPUT -o $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT
  48. #
  49. # On autorise les connexions deja établies à entrer.
  50. #
  51. iptables -A INPUT -i $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT
  52. #
  53. # On accepte le trafic de certains protocoles (commenter les lignes selon le besoin).
  54. #
  55. iptables -A OUTPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 9 -j ACCEPT # Wake on LAN
  56. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 53 -j ACCEPT # DNS
  57. iptables -A OUTPUT -m state --state NEW -o $IF_RESEAU -p udp --dport 123 -j ACCEPT # NTP
  58. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 135 -j ACCEPT # SMB
  59. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 137 -j ACCEPT # SMB
  60. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 138 -j ACCEPT # SMB
  61. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 445 -j ACCEPT # SMB
  62. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 631 -j ACCEPT # IPP
  63. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 632 -j ACCEPT # Cups SSL
  64. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 902 -j ACCEPT # VMware console
  65. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 8222 -j ACCEPT # VMware WUI
  66. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p udp --dport 8333 -j ACCEPT # VMware WUI
  67. #iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 20 -j ACCEPT # FTP
  68. #iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 21 -j ACCEPT # FTP
  69. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 22 -j ACCEPT # SSH
  70. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 53 -j ACCEPT # DNS
  71. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 80 -j ACCEPT # HTTP
  72. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 135 -j ACCEPT   # SMB
  73. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 137 -j ACCEPT   # SMB
  74. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 139 -j ACCEPT   # SMB
  75. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 445 -j ACCEPT # SMB
  76. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 631 -j ACCEPT # IPP
  77. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 632 -j ACCEPT # Cups SSL
  78. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 902 -j ACCEPT # VMware console
  79. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 8222 -j ACCEPT # VMware WUI
  80. iptables -A INPUT -m state --state NEW -i $IF_RESEAU -p tcp --dport 8333 -j ACCEPT # VMware WUI
  81. #
  82. # Ecriture de la politique de log.
  83. # Ici on affiche [IPTABLES DROP] dans /var/log/message à chaque paquet rejetté par iptables.
  84. #
  85. iptables -N LOG_DROP
  86. iptables -A LOG_DROP -j LOG --log-level 1 --log-prefix '[IPTABLES DROP]:'
  87. iptables -A LOG_DROP -j DROP
  88. #
  89. # On met en place les logs en entrée, sortie et routage selon la politique LOG_DROP écrit avant.
  90. #
  91. iptables -A FORWARD -j LOG_DROP
  92. iptables -A INPUT -j LOG_DROP
  93. iptables -A OUTPUT -j LOG_DROP
  94. #
  95. # On sauvegarde la configuration de iptables.
  96. #
  97. /etc/init.d/iptables save
  98. #
  99. # Chargement du module de gestion des connexion state
  100. # (autorisation des connexions déjà établies à passer le firewall).
  101. #
  102. /sbin/modprobe ip_conntrack
  103. #
  104. # Chargement du module spécial pour palier au probleme de connexion FTP passive.
  105. #
  106. /sbin/modprobe ip_conntrack_ftp
  107. ##################################################################################


 
Les erreurs sont toujours les mêmes :

Code :
  1. Bad argument 'TCP'
  2. Try 'iptables -h' or 'iptables --help' for more information.
  3. Bad argument 'state'
  4. Try 'iptables -h' or 'iptables --help' for more information.

et ...

Code :
  1. Exp:/etc# [IPTABLES DROP]:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:8f:3a:0a:f3:08:00
  2. SRC=192.168.2.3 DST=192.168.2.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=3980 PROTO=UDP SPT=138 DPT=138 LEN=209
  3. [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.2.6 DST=192.168.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0
  4. PROTO=UDP SPT=137 DPT=137 LEN=58

sur les ports 137, 138 et 139.


Message édité par Gavrinis le 04-11-2007 à 20:47:36
n°974049
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 20:31:16  profilanswer
 

oui parce que tu as des paquets udp port 137, 138, 139 qui sont généré PAR ton équipement/firewall et que tu n'as aucune règle qui ne les accepte à sortir. (en OUTPUT elle se heure à la derniere regle : -j DROP)

 

Pour l'instant tu n'acceptes que le traffic généré par unéquipement sur le réseau à joindre le port UDP 137...

 

=> tu dois faire un iptables -A OUTPUT -m state --state NEW -p udp --sport 137 --dport 137 -j ACCEPT en plus [:spamafote]


Message édité par o'gure le 04-11-2007 à 20:32:13

---------------
Relax. Take a deep breath !
n°974051
o'gure
Modérateur
Multi grognon de B_L
Posté le 04-11-2007 à 20:32:57  profilanswer
 

sinon en 57 et 62 utilise -m state
pour le TCP, je vois pas.


Message édité par o'gure le 04-11-2007 à 20:34:21

---------------
Relax. Take a deep breath !
n°974113
Gavrinis
Open your mind
Posté le 04-11-2007 à 22:57:16  profilanswer
 

Il continue ses erreurs sur le port 137 :sweat:.
Dois-je aussi mettre "iptables -A OUTPUT -m state --state NEW -p udp --sport 137 --dport 137 -j ACCEPT" sur 135, 138, 139 et 445 ?
 
Au sujet de "tcp", j'ai droit aussi à l'udp maintenant :

Code :
  1. Bad argument 'udp'
  2. Try 'iptables -h' or 'iptables --help' for more information.
  3. Bad argument 'tcp'
  4. Try 'iptables -h' or 'iptables --help' for more information.
  5. Bad argument 'state'
  6. Try 'iptables -h' or 'iptables --help' for more information.

Enfin soit j'abandonne pour aujourd'hui :wahoo:, bonne fin de soirée et merci :jap:

n°974480
Gavrinis
Open your mind
Posté le 05-11-2007 à 17:05:45  profilanswer
 

up

n°977150
Gavrinis
Open your mind
Posté le 10-11-2007 à 22:02:20  profilanswer
 

s'il vous plait aidez moi, j'ai vraiment besoin d'aide :(

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Résolu] IPtables ne se lance pas

 

Sujets relatifs
[RESOLU] Neogia sous linux Ubuntu ?[Debian-ETCH] pas de réseau avec un nouveau noyau[Résolu]
[Resolu] Problème avec installation de GRUB, boot de linux impossible[résolu] Mandriva 2007.1 + upgrade 2.6.19.2 : échec compilation
[ RESOLU ] Pb installation knoppixBlocage au boot avec HAL sous Mandriva 2008 [Résolu]
[resolu]Apache2 + vhost mauvaise config du defautKubuntu Gutsy, openoffice 2.3 et DicOOo [RESOLU]
fancontrol sous mandriva2008 (résolu)[Résolu] Serveur X ne démarre plus après mise à jour ubuntu
Plus de sujets relatifs à : [Résolu] IPtables ne se lance pas


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR