Forum Linux.embarqué config Iptables pour de l'embarqué

Posté par . Licence CC by-sa.
Tags : aucun
0
29
jan.
2018

Bonjour,

Je suis en plein développement d'un système embarqué utilisant un linux et une connexion 3G. Le système permet de remonter les données vers une base de donnée en ligne. Seule une connexion entrante SSH est admise en plus.

Comme le système sera amené à redémarrer régulièrement et que je ne maîtrise pas franchement ce qui transite sur la connexion au démarrage du système, et afin de limiter le coût de donnée 3G (forfait M2M), j'aimerais appliquer les règles iptables au démarrage et surtout ne faire passer que les trames générées par mes applications. J'utilise des requêtes post à l'aide de la librairie curl.

J'ai remarqué que les ports sortants utilisés par les post curl ne sont jamais les mêmes… Comment puis je appliquer un DROP sur tout les ports sortant sauf ceux utilisés par mes post curl ?

J'avoue que je suis novice pour cette partie.

D'avance merci.

  • # --dport

    Posté par . Évalué à 1.

    Il faut que tu cibles sur le port de destination pour filtrer (--dport) au lieu de --sport.

    Par ailleurs, derrière une connexion 3G tu seras NATé, tu vas obtenir une IP privée, tu ne pourras donc pas accéder à ta machine depuis l'extérieur. Il faudra que tu mettes en place un VPN ou un reverse SSH.

    Clément

    • [^] # Re: --dport

      Posté par . Évalué à 2. Dernière modification le 31/01/18 à 01:56.

      Par ailleurs, derrière une connexion 3G tu seras NATé, tu vas obtenir une IP privée, tu ne pourras donc pas accéder à ta machine depuis l'extérieur.

      Je connais des offres M2M qui permettent d'avoir une IP publique (en tout cas SFR en propose)

      Il faudra que tu mettes en place un VPN ou un reverse SSH.

      Oui mais je ne sais pas trop ce que ça implique en terme de volume de données (paquets "keepalive") ni si ça scale très bien avec quelques milliers d'objets… Dans mon cas d'usage, j'avais un cron sur mes objets qui faisait tourner périodiquement un script qui utilisait curl et servait à la fois à ma supervision et à envoyer au besoin des commandes (individuellement ou en batch sur le parc. N.b. ne pas oublier de randomiser la partie "minutes" sur le cron afin de ne pas se prendre toutes les requêtes en même temps !)

      • [^] # Re: --dport

        Posté par . Évalué à 1.

        Ben, tu as quoi comme quota de data intégré dans tes abos ?

        En LTE et IPV6, je veux bien croire que tu puisses avoir tout ce que tu veux, mais en particulier pour le m2m, les telcos seront frileux à "gaspiller" des IPV4.

        Clément

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.