Forum Linux.debian/ubuntu problème avec apt-get update

• # à confirmer mais...

  Posté par NeoX le 26 mai 2007 à 12:59. Évalué à 2.

  

  
  #!/bin/bash
  
  echo Setting firewall rules...
  #
  ###### Debut Initialisation ######
  # Interdire toute connexion entrante
  
  iptables -t filter -P INPUT DROP
  iptables -t filter -P FORWARD DROP
  echo - Interdire toute connexion entrante : [OK]
  
  
  # Interdire toute connexion sortante
  iptables -t filter -P OUTPUT DROP
  echo - Interdire toute connexion sortante : [OK]
  
  
  # Vider les tables actuelles
  iptables -t filter -F
  iptables -t filter -X
  echo - Vidage : [OK]
  
  # Autoriser SSH
  iptables -t filter -A INPUT -p tcp --dport 1780 -j ACCEPT
  echo - Autoriser SSH : [OK]
  
  # Ne pas casser les connexions etablies
  iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  echo - Ne pas casser les connexions établies : [OK]
  
  ###### Fin Inialisation ######
  
  ##### Debut Regles ######
  # Autoriser loopback
  iptables -t filter -A INPUT -i lo -j ACCEPT
  iptables -t filter -A OUTPUT -o lo -j ACCEPT
  echo - Autoriser loopback : [OK]
  
  # Autoriser ping
  iptables -t filter -A INPUT -p icmp -j ACCEPT
  iptables -t filter -A OUTPUT -p icmp -j ACCEPT
  echo - Autoriser ping : [OK]
  
  

  
  
  tu arrives à naviguer sur internet ?
  tu arrives à faire du ftp ?
  
  parce que d'apres ta config, tu bloques TOUT trafic sortant
  
  d'apres le message que tu as ca pourrait aussi venir simplement du fait que le serveur en face ftp.fr.debian.org ne repond plus.
  que le fichier est indisponible car en cours de mise à jour ?
  
  as-tu essayé un autre depot ? (ftp.debian.org)

  • [^] # Re: à confirmer mais...

    Posté par other le 26 mai 2007 à 13:48. Évalué à 1.

    

    Nan en fait le -P indique la politique par default. Donc tout packet qui n'est pas identifier par les autres regles sera dropper.
    
    Il faut juste autoriser le port 80 en TCP (http) et 53 en UDP (DNS)
    
    iptables -A OUTPUT -p TCP --dport 80 -j ACCEPT
    iptables -A INPUT -p TCP --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    Tu peut meme filtrer plus précisement en n'autorisant le DNS uniquement vers les @IP de tes DNS que tu devrais trouver dans /etc/resolv.conf (mais ils changent peut etre a chaque redemarrage de la connection).
    
    (le -t filter est optionnel, par default si rien n'est specifier)

• # dns en sortie

  Posté par B. franck le 26 mai 2007 à 13:11. Évalué à 2.

  

  Il serait pas mal d'autoriser les requêtes sortantes vers les DNS (port 53) de ton fournisseur d'accès pour avoir la résolution de nom.
  
  Pour accéder à internet il faudra aussi autoriser le web (80) et éventuellement ftp (20 et 21) en sortie.

  • [^] # Re: dns en sortie

    Posté par petit_bibi le 26 mai 2007 à 19:23. Évalué à 2.

    

    Il serait aussi pas mal de rajouter une règle de logging à la fin de chaque chaines avant le DROP par défaut afin de pouvoir regarder ce qu'il se passe pendant
    que tu essais de te connecter.
    
    Un truc de ce style:
    

    
    FW=/sbin/iptables
    LOGLIMIT="2/s"
    LOGLIMITBURST="10"
    
    $FW -N log_drop
    $FW -A log_drop -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST \
    -j LOG --log-prefix 'FW-DROP: '
    $FW -A log_drop -j DROP
    
    $FW -A INPUT -j log_drop
    $FW -A OUTPUT -j log_drop
    $FW -A FORWARD -j log_drop
    

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.