Sujet Précédent Sujet Suivant

Iptables bloque apt-get ?

Résolu/Fermé
Utilisateur anonyme - 5 mars 2010 à 20:07
 Utilisateur anonyme - 6 mars 2010 à 14:44
Bonjour,
Suite à une mauvaise manip' j'ai bloqué toutes les INPUT sur iptables sur Debian Lenny. J'ai tout reparamétré, mais depuis impossible d'utiliser apt-get. Au début il ne résolvait pas le nom des serveurs, mais j'avais oublié d'autoriser le DNS. Maintenant pas de problème, il associe bien le nom des serveurs avec leur IP, mais il n'arrive pas à se connecter : j'obtiens ce message : 
apt-get install nmap
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Les paquets supplémentaires suivants seront installés : 
  libpcap0.8
Les NOUVEAUX paquets suivants seront installés :
  libpcap0.8 nmap
0 mis à jour, 2 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 1143ko dans les archives.
Après cette opération, 3936ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ? 
ATTENTION : les paquets suivants n'ont pas été authentifiés.
  libpcap0.8 nmap
Faut-il installer ces paquets sans vérification (o/N) ? o
Err http://ftp.fr.debian.org stable/main libpcap0.8 0.9.8-5
  Connexion à ftp.fr.debian.org: 80 (212.27.32.66) impossible, délai de connexion dépassé
0% [Connexion à http.us.debian.org (204.152.191.39)]


Voila mes tables : 
iptables -t filter -L -n -v
Chain INPUT (policy DROP 117 packets, 21542 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3254  226K ACCEPT     all  --  eth0   *       192.168.0.0/24       192.168.0.0/24      
    0     0 ACCEPT     tcp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           tcp dpt:21 
    0     0 ACCEPT     tcp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           tcp dpt:22 
    0     0 ACCEPT     tcp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           tcp dpt:443 
    0     0 ACCEPT     udp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           udp dpt:443 
    0     0 ACCEPT     udp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           udp dpt:80 
    0     0 ACCEPT     udp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           udp dpt:22 
    0     0 ACCEPT     udp  --  eth0   *       10.0.0.0/8           0.0.0.0/0           udp dpt:21 
    6   504 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:161 
    5   927 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 1011 packets, 64940 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2379  453K ACCEPT     all  --  *      eth0    192.168.0.0/24       192.168.0.0/24      
    0     0 ACCEPT     tcp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           tcp dpt:443 
    0     0 ACCEPT     tcp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           tcp dpt:22 
    0     0 ACCEPT     tcp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           tcp dpt:21 
    0     0 ACCEPT     udp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           udp dpt:21 
    0     0 ACCEPT     udp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           udp dpt:22 
    0     0 ACCEPT     udp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           udp dpt:80 
    0     0 ACCEPT     udp  --  *      eth0    10.0.0.0/8           0.0.0.0/0           udp dpt:443 
    6   504 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
   19  1199 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:161 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


Merci d'avance pour votre aide...
A voir également:

1 réponse

Réponse 1 / 1
Utilisateur anonyme
6 mars 2010 à 14:44
Bon, j'ai finalement réussi avec ce script : 
#!/bin/bash
#

# Nous vidons les chaines predefinies :
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Nous supprimons les regles des chaines personnelles :
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Nous les faisons pointer par déut sur DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Autorise les réponses
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# On autorise le ping
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 5/s -j ACCEPT

#(Facultatif : autoriser l'accés au serveur sdepuis l'extérieur)
iptables -A INPUT -p TCP --dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport http -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport https -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 64738 -i eth0 -j ACCEPT
iptables -A INPUT -p UDP --dport 64738 -i eth0 -j ACCEPT

# anti scan
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

#Make sure NEW incoming tcp connections are SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Packets with incoming fragments
iptables -A INPUT -f -j DROP

#incoming malformed XMAS packets
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

#Incoming malformed NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP


#Autoriser DNS
iptables -A OUTPUT --protocol udp --destination-port 53 -j ACCEPT

#Sortie web
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT


#Autoriser sortie FTP
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 161 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 161 -j ACCEPT


#Regles de secu
iptables -A INPUT -p all -j DROP
iptables -A OUTPUT -p all -j DROP
iptables -A FORWARD -p all -j DROP

#redémarrer fail2ban
/etc/init.d/fail2ban restart


Qui est lancé au démarrage.
0