Forum Linux.débutant iptables+ports+internet

Posté par  .
Étiquettes : aucune
0
11
avr.
2005
Salut

mon firewall, netfilter configuré avec iptables a un énorme défault:
je me connecte à internet sans lancer le script, je vais sur un site, lance le script, et là je ne peux naviguer (avec mozilla) que sur le site que j'ai ouvert au début.
Les autres sont introuvables.
Et bien sûr, si je lance le script tout de suite, n'importe quel site est introuvable.

Voilà mon script ( j'accepte tout sur les ports concernant http et https):
#! /bin/sh
iptables -F
iptables -X
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 488 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 488 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 488 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 488 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 8008 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 8008 -j ACCEPT


avec ppp0 mon modem, et j'ai l'impression de tout accepter sur les ports concernant http et https dans mon script.

Pour info: cat /etc/services | grep http
$ cat /etc/services | grep http
# http://www.iana.org/assignments/port-numbers(...)
http 80/tcp www www-http # WorldWideWeb HTTP
http 80/udp www www-http # HyperText Transfer Protocol
https 443/tcp # MCom
https 443/udp # MCom
gss-http 488/tcp
gss-http 488/udp
http-alt 8008/tcp
http-alt 8008/udp



Alors où est le problème ?

Merci

  • # DNS

    Posté par  (site web personnel) . Évalué à 5.

    Sans lire le script, c'est évident qu'il y a un problème de DNS.
    Autorise les connexions sur le port 53 des autres machines.

  • # re

    Posté par  . Évalué à 3.

    Bon, au bout du 3eme post, je vois que tu n'as pas beaucoup progressé au niveau d'iptables ...
    Je pense qu'il serait vraiment temps que tu lises ce tutoriel:

    http://iptables-tutorial.frozentux.net/iptables-tutorial.html(...)

    En effet, à lire tes posts, tu es passé à côté de beaucoup de choses ...

    Un firewall de base pour un poste directement connecté au net via ppp0 serait:

    # Règles par défaut
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # Sorties: les trucs de bases
    iptables -A OUPUT -m multiport -p tcp --dport 21,25,80,110,443 -j ACCEPT
    iptables -A OUPUT -p udp --dport 53 -j ACCEPT

    # Entrèe: rien sauf les flux relatifs à nos sorties
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    Voila. Après il faut vraiment que tu comprennes le truc pour écrire un firewall digne de ce nom.
    Par exemple, quand je vois ça:


    iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT


    Je ne peux m'empecher de penser à la table FORWARD bizarrement !
    Attention, des erreurs peuvent s'etre glissées dans mon script plus haut. En effet, il est à peine dix heures du matins donc bon ...

    • [^] # Re: re

      Posté par  . Évalué à 1.

      merci pour le lien que tu m'as indiqué (tutorial).
      Je m'y colle dés cette après-midi, et vu la longueur du tutorial, vous n'allez plus entendre parler de moi pdt un bout de temps.

      Mais qd même, un truc que je ne comprends pas. Tu dis:
      Par exemple, quand je vois ça:


      iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
      iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT


      Je ne peux m'empecher de penser à la table FORWARD bizarrement !

      Mais j'ai tout bloqué sur la table FORWARD ?!:
      iptables -P FORWARD DROP

      Merci encore

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.