Forum Linux.noyau configuration iptables pour imprimante HP

Posté par  . Licence CC By‑SA.
Étiquettes :
0
25
août
2017

bonjour,
j'ai un imprimante HP OfficeJet 6600 et il m'est venu à l'esprit de m'intéresser aux iptables.
J'ai donc voulu consulter les ports à ouvrir.
j'ai d'une part relevé l'ip de mon imprimante:

~$ scanimage -L
device hpaio:/net/Officejet_6600?ip=192.168.1.14' is a Hewlett-Packard Officejet_6600 all-in-one
devicev4l:/dev/video0' is a Noname BisonCam, NB Pro virtual device

puis utilisé nmap:

~$ nmap -sV 192.16.1.14
Starting Nmap 6.47 ( http://nmap.org ) at 2017-08-25 00:00 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.09 seconds

constatant donc qu'il y avait déjà un léger problème - et ce bien que l'imprimante fonctionne - je me suis rendu sur le site d'HP.
et voilà ce que j'ai pu en tirer:

UDP 427 (inbound)
TCP 9220 (outbound)
UDP 161 (outbound)
UDP 427 (outbound)
TCP 9500 (outbound)
TCP 9290 (outbound)
TCP & UDP 139 (outbound)
TCP 9100 (outbound)

ensuite je me suis rendu sur le site d'HPLIP pour connaître les ports de l'application:

Ensure that the correct ports are open.
Make sure that port 161 (udp and tcp), port 162 (udp and tcp) and port 9100 (udp and tcp) are open through your firewall. If these are not open then HPLIP will not function.

Ainsi j'ai pu conclure à quoi devrait ressembler ma chaîne dans iptable, sachant que le serveur cups tourne sur le port 631 en tcp:

/sbin/iptables -A INPUT -p tcp -m tcp --dport 631 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 631 -m conntrack ! --ctstate INVALID -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --sport 427 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 427 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --dport 139 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp -m tcp --dport 139 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 139 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 139 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --dport 161 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp -m tcp --dport 161 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 161 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 161 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --dport 162 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp -m tcp --dport 162 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 162 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 162 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp -m tcp --dport 9100 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --dport 9100 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 9100 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 9100 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 9500 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 9220 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -m tcp --dport 9290 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Mais j'ai l'erreur 5012 lors de l'exécution de hp-toolbox…
Qu'en dites-vous ?

[ EDIT ]
J'ai seulement autorisé les ip locales à échanger. Résolu

  • # Illisible...

    Posté par  . Évalué à 4.

    J'aimerai bien t'aider, mais ton post est tellement mal formaté et long que je ne parviens pas à le lire.
    Pourrais-tu le reformater?

  • # Sniffer le réseau

    Posté par  . Évalué à 5.

    Mais j'ai l'erreur 5012 lors de l'exécution de hp-toolbox…
    Qu'en dites-vous ?

    J'en dis que tu devrais utiliser tcpdump ou wireshark à la place de nmap.
    Ça te permettrait de voir quels sont les ports réellement utilisés sur l'imprimante. Et éventuellement s'il y a des ports sur l'ordinateur qui sont ouverts temporairement par le pilote/logiciel/etc.

    Mais j'en dit surtout que j'ouvrirais bêtement tout vers l'imprimante sans me prendre le chou. À moins d'être dans un environnement problématique il y a zéro risque supplémentaire.

    • [^] # Re: Sniffer le réseau

      Posté par  (site web personnel) . Évalué à 3.

      Ou alors, partir avec la bonne IP dans le nmap…

      • [^] # Re: Sniffer le réseau

        Posté par  . Évalué à 2.

        Bien vu :-)

        Avec les options qu'il utilise, ça ne change rien : ça ne vérifie que les ports courants.
        De plus si l'imprimante est un tant soit peu protégée (j'en doute) les éventuels ports annexes ne sont accessibles que depuis une machine qui est en train d'imprimer.

  • # question subsidiaire

    Posté par  . Évalué à 1.

    Je relance le topic car j'ai voulu éditer un message le lendemain du premier, mais le site devait être en chantier car je n'ai pas pu le poster.
    Du coup, j'ai planché le sujet des iptables plus en profondeur, ai compris qu'il n'y avait pas que la table filter et ai étudié les correspondances.
    J'en suis arrivé à un script qui fonctionne et me protège bien d'avantage que le pare-feu de ma box ( débogage grâce au journal ).
    J'ai bien accès à tous les logiciels que j'utilise et me suis rendu compte au passage que keepass2 provoquait une boucle locale …
    J'ai accès par internet aux sites d'actualité et aux sites en streaming… mais pas aux sites de vente ni à ceux concernant l'informatique.
    Je n'ai même pas accès à linuxfr en fait, et j'ai dû flusher mon pare-feu pour envoyer ce message.
    Y aurait-il une quelconque explication rationnelle?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.