Conversation
precedente ou
suivante
Est ce normal ??
Envoyé par:
alain77
Bonjour à tous, voila j'ai un problème avec iptable. je vais essayer de faire cour, je met en drop input et output et j'ai acces a internet quand meme.
forward est en accept! Est-ce normal? Remarque je n'est pas penser a une chose, mais c peut etre moi le prob :-)
Bref si il y a une ame charitable pour une description se serai sympas pour un petit jeune linuxien.
merci d'avance.
forward est en accept! Est-ce normal? Remarque je n'est pas penser a une chose, mais c peut etre moi le prob :-)
Bref si il y a une ame charitable pour une description se serai sympas pour un petit jeune linuxien.
merci d'avance.
Poste le Monday 15 December 2003 16:52:06
Re: Est ce normal ??
Envoyé par:
alveric
Tu peux donner ta configuration iptables plus en détails ? si c'est juste la politique par défaut qui est à DROP, avec une liste de règles vide, là je donne ma langue au chat... Balance ta config iptables qu'on voit un peu ça.
Poste le Monday 15 December 2003 17:42:56
Re: Est ce normal ??
Envoyé par:
alain77
c exactement ca iptable input drop output drop regles aucune forward accept .
je pige pas je suis entrain de poster c que ca tourne bien non? c un truc de fou je pige plus rien!
Par contre si je met des regles dans forward seul forward me donne acces vers l'exterieur en fonction des regles inscrite evidement et pour rentrer c aussi la chaine forward qui me gere les entrées expl: pour le por 80 et c gerer corectement en fonction de mes regles dans forward. bref c forward qui me filtre vers l'exterieur c tout .
c tu a une idée merci de m'aider car je suis perdu !
a+ et merci d'avance pour ton aide:-)
ps: iptables c la distrib fedora.
je pige pas je suis entrain de poster c que ca tourne bien non? c un truc de fou je pige plus rien!
Par contre si je met des regles dans forward seul forward me donne acces vers l'exterieur en fonction des regles inscrite evidement et pour rentrer c aussi la chaine forward qui me gere les entrées expl: pour le por 80 et c gerer corectement en fonction de mes regles dans forward. bref c forward qui me filtre vers l'exterieur c tout .
c tu a une idée merci de m'aider car je suis perdu !
a+ et merci d'avance pour ton aide:-)
ps: iptables c la distrib fedora.
Poste le Monday 15 December 2003 17:58:54
Re: Est ce normal ??
Envoyé par:
alain77
c deja fait au moin x fois :-)
D'après ce que g pue comprendre pour avoir acces a internetvia mon rézo local.
iptables -F sur la table filter, la table nat et mangle.
puis:
INPUT DROP
FORWARD DROP
OUTPUT DROP
Pour avoir acces a internet de mon rezo privé je devrait faire
iptables -t nat -A POSTROUTING -o ppp0 -j ACCEPT
echo 1 >/proc/sys/net/ipv4/ip_forward
puis je tape mes règles.
iptables -A INPUT -s 192.168.XXX.XXX -p tcp --dport 80 -o ppp0 -m state --state ! INVALID -j ACCEPT puis je tape
iptables -A OUTPUT -i ppp0 -p tcp --sport 80 -d 192.168.XXX.XXX -m state --state RELATED,ESTABLISHED -j ACCEPT
et bien ca marche pas!!! je doit installer ces 2 règles sur FORWARD pour que cela marche, et le plus fort c que si je retire les règles dans INPUT et OUTPUT en les laissant DROP et bien ca marche tj.
Donc seul ma chaine forward me filtre ? Pige pas :-(
j'espere avoir ete asser claire,desolée si je m'explique mal mais je commence seulment sur linux alors soyer indulgent avec moi snif snif!!
merci pour vos futures réponses que j'attend avec impatience :-) a+
D'après ce que g pue comprendre pour avoir acces a internetvia mon rézo local.
iptables -F sur la table filter, la table nat et mangle.
puis:
INPUT DROP
FORWARD DROP
OUTPUT DROP
Pour avoir acces a internet de mon rezo privé je devrait faire
iptables -t nat -A POSTROUTING -o ppp0 -j ACCEPT
echo 1 >/proc/sys/net/ipv4/ip_forward
puis je tape mes règles.
iptables -A INPUT -s 192.168.XXX.XXX -p tcp --dport 80 -o ppp0 -m state --state ! INVALID -j ACCEPT puis je tape
iptables -A OUTPUT -i ppp0 -p tcp --sport 80 -d 192.168.XXX.XXX -m state --state RELATED,ESTABLISHED -j ACCEPT
et bien ca marche pas!!! je doit installer ces 2 règles sur FORWARD pour que cela marche, et le plus fort c que si je retire les règles dans INPUT et OUTPUT en les laissant DROP et bien ca marche tj.
Donc seul ma chaine forward me filtre ? Pige pas :-(
j'espere avoir ete asser claire,desolée si je m'explique mal mais je commence seulment sur linux alors soyer indulgent avec moi snif snif!!
merci pour vos futures réponses que j'attend avec impatience :-) a+
Poste le Monday 15 December 2003 21:46:09
Re: Est ce normal ??
Envoyé par:
greywolf
les chaines INPUT et OUTPUT ne concernent que la "machine-bastion" qui héberge le firewall (celle directement connectée à internet)
la chaine FORWARD concerne le filtrage des paquets du lan <-> wan
tes règles n'ont ni queue ni tête:
iptables -A INPUT -s 192.168.XXX.XXX -p tcp --dport 80 -o ppp0 -m state --state ! INVALID -j ACCEPT
autorisation des paquets sortant par l'interface ppp0 ayant pour adresse source 192.168.x.x à destination de tcp80 sur la machine bastion => tu as un demon www sur ta machine bastion?
en général, pour input on donne l'interface d'entrée des paquets (-i), si celle-ci est l'interface wan, on a intérêt à bloquer les adresses localnet; si elle est l'interface wan, on peut restreindre à la classe d@ IP du lan.
iptables -A OUTPUT -i ppp0 -p tcp --sport 80 -d 192.168.XXX.XXX -m state --state RELATED,ESTABLISHED -j ACCEPT
autorisation des paquets entrant par ppp0 ayant pour adresse source 192.168.x.x:80 en état relié,établis......
Comment veux tu que des paquets arrivant de ton lan passent par ton interface wan???
tu m'étonnes qu'il ne s'y retrouve pas netfilter...
faudrait sérieusement revoir tes bases en réseau ;-)
la chaine FORWARD concerne le filtrage des paquets du lan <-> wan
tes règles n'ont ni queue ni tête:
iptables -A INPUT -s 192.168.XXX.XXX -p tcp --dport 80 -o ppp0 -m state --state ! INVALID -j ACCEPT
autorisation des paquets sortant par l'interface ppp0 ayant pour adresse source 192.168.x.x à destination de tcp80 sur la machine bastion => tu as un demon www sur ta machine bastion?
en général, pour input on donne l'interface d'entrée des paquets (-i), si celle-ci est l'interface wan, on a intérêt à bloquer les adresses localnet; si elle est l'interface wan, on peut restreindre à la classe d@ IP du lan.
iptables -A OUTPUT -i ppp0 -p tcp --sport 80 -d 192.168.XXX.XXX -m state --state RELATED,ESTABLISHED -j ACCEPT
autorisation des paquets entrant par ppp0 ayant pour adresse source 192.168.x.x:80 en état relié,établis......
Comment veux tu que des paquets arrivant de ton lan passent par ton interface wan???
tu m'étonnes qu'il ne s'y retrouve pas netfilter...
faudrait sérieusement revoir tes bases en réseau ;-)
Poste le Monday 15 December 2003 21:56:41
Re: Est ce normal ??
Envoyé par:
alveric
Je comprends mieux... Le prends pas mal, mais greywolf a pas tort, (re)lire quelques doc sur le réseau IP / filtrage de paquets / iptables te ferait du bien. (et ferait du bien à ton réseau) Une fois que t'auras assimilé un peu mieux les nuances, et vu par l'exemple, ça ira mieux (et tu n'auras plus besoin de nous 
Au passage, filtrer les paquets passant sur la passerelle n'empêche en rien de filtrer ce qui passe sur les machines du réseau. Deux précautions valent mieux qu'une, surtout si la passerelle est compromise.
Au passage, filtrer les paquets passant sur la passerelle n'empêche en rien de filtrer ce qui passe sur les machines du réseau. Deux précautions valent mieux qu'une, surtout si la passerelle est compromise.
Poste le Monday 15 December 2003 23:09:30
Ce forum !
Est ce normal ??
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons