Salut
mon firewall, netfilter configuré avec iptables a un énorme défault:
je me connecte à internet sans lancer le script, je vais sur un site, lance le script, et là je ne peux naviguer (avec mozilla) que sur le site que j'ai ouvert au début.
Les autres sont introuvables.
Et bien sûr, si je lance le script tout de suite, n'importe quel site est introuvable.
Voilà mon script ( j'accepte tout sur les ports concernant http et https):
#! /bin/sh
iptables -F
iptables -X
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 488 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 488 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 488 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 488 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 8008 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 8008 -j ACCEPT
avec ppp0 mon modem, et j'ai l'impression de tout accepter sur les ports concernant http et https dans mon script.
Pour info: cat /etc/services | grep http
$ cat /etc/services | grep http
# http://www.iana.org/assignments/port-numbers(...)
http 80/tcp www www-http # WorldWideWeb HTTP
http 80/udp www www-http # HyperText Transfer Protocol
https 443/tcp # MCom
https 443/udp # MCom
gss-http 488/tcp
gss-http 488/udp
http-alt 8008/tcp
http-alt 8008/udp
Alors où est le problème ?
Merci
# DNS
Posté par Antonio Da Silva (site web personnel) . Évalué à 5.
Autorise les connexions sur le port 53 des autres machines.
# re
Posté par LaBienPensanceMaTuer . Évalué à 3.
Je pense qu'il serait vraiment temps que tu lises ce tutoriel:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html(...)
En effet, à lire tes posts, tu es passé à côté de beaucoup de choses ...
Un firewall de base pour un poste directement connecté au net via ppp0 serait:
# Règles par défaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Sorties: les trucs de bases
iptables -A OUPUT -m multiport -p tcp --dport 21,25,80,110,443 -j ACCEPT
iptables -A OUPUT -p udp --dport 53 -j ACCEPT
# Entrèe: rien sauf les flux relatifs à nos sorties
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Voila. Après il faut vraiment que tu comprennes le truc pour écrire un firewall digne de ce nom.
Par exemple, quand je vois ça:
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
Je ne peux m'empecher de penser à la table FORWARD bizarrement !
Attention, des erreurs peuvent s'etre glissées dans mon script plus haut. En effet, il est à peine dix heures du matins donc bon ...
[^] # Re: re
Posté par yanlolot . Évalué à 1.
Je m'y colle dés cette après-midi, et vu la longueur du tutorial, vous n'allez plus entendre parler de moi pdt un bout de temps.
Mais qd même, un truc que je ne comprends pas. Tu dis:
Par exemple, quand je vois ça:
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
Je ne peux m'empecher de penser à la table FORWARD bizarrement !
Mais j'ai tout bloqué sur la table FORWARD ?!:
iptables -P FORWARD DROP
Merci encore
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.