Forum Linux.débutant Apprentissage iptables

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
12
jan.
2018

Bonjour à tous,

J'aimerais approfondir mes connaissance en iptables, j'utilise uptables-persistent.

Dernièrement j'ai voulu imprimer depuis mon téléphone avec client cups, serveur cups sur rasp sur lequel j'ai ajouté l'imprimante qui a bien été détecté. (J'ai du désactiver mes règles iptables).

L'ouverture du port 631 n'avait pas suffi pour :
1-serveur cups : détecter/associer via l'interface web l'imprimante sur le réseau local 192.168.1.X
2-détecter avec le mobile (client cups) une imprimante associé au serveur cups

Voici mon /etc/iptables/rules.v4

# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*raw
:PREROUTING ACCEPT [1414:139193]
:OUTPUT ACCEPT [964:185537]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*mangle
:PREROUTING ACCEPT [1414:139193]
:INPUT ACCEPT [1401:125545]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [964:185537]
:POSTROUTING ACCEPT [967:185633]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*nat
:PREROUTING ACCEPT [15:13748]
:INPUT ACCEPT [2:100]
:OUTPUT ACCEPT [12:771]
:POSTROUTING ACCEPT [12:771]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]

###########################################
################   INPUT   ################   
###########################################

#Allow trafic on internal network
-A INPUT -i lo -j ACCEPT

#Allow ping to internal network
-A INPUT -i eth0 -p icmp -j ACCEPT

#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH and SFTP
-A INPUT -p tcp -m tcp --dport ssh -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT

#XMPP
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#Allow cups
-A INPUT -i eth0 -p UDP --dport 631 -j ACCEPT                         

###########################################
###############   OUTPUT   ################   
###########################################

#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -o eth0 -p icmp -j ACCEPT

COMMIT

Après j'ai du mal avec ces 3 lignes de code :

:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]

Egalement, a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu'ils sont autorisés avec cette ligne :

#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Autrement, je pensais autoriser les transferts de paquets entre les périphériques de mon réseau local, la c'est sans risque!
Enfin, sans intrusion bien sur (je n'ai pas trouvé d'autres solutions pour faire en sorte de faire marcher le service d'impression cups).

Je pensais à la ligne suivante :

-A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

Si vous avez un support d'apprentissage pour iptables, je suis preneur.

Merci par avance.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.