config iptables

Question

Bonjour,
je suis en train de configurer un firewall personnel sous la redhat 8.0. Mon firewall est iptables. Cependant, je ne comprends pas certaines choses :
- tout d'abord c quoi des paquets SYN ?
- la chaine INPUT correspond a tout ce qui veut rentrer dans mon PC ? La chaine OUTPUT tout ce qui veut en sortir ?
- que signifie 0/0 comme adresse de destination ou adresse source ?
- enfin je terminerai par un pb que je rencontre : j'ai mis mes politiques par défaut a DROP (les 3 pour la table filter) mais apres quand je veux ajouter des regles pour permettre a certains pc de se connecter a moi, ben ca marche pas, ils ne peuvent toujours pas se connecter (j'ai mis comme services ssh, telnet, ftp, samba, mysql). J'accepte egalement les requetes DNS.

Voila voila
j'espere que qqu'un pourra m'aider ^_^.

Bahan

Afficher la suite

sebsauvage · Answer

Je ne vais pas répondre à tout, mais:

SYN est un paquet TCP spéciale qui permet d'ouvrir un nouveau flux TCP.
(IP ne gérant pas la notion de flux ou de connexion, c'est TCP qui gère cet aspect.)

Un PC peut avoir plusieurs adresse IP.
(127.0.0.1, une autre adresse IP pour le réseau local, un autre pour le modem, etc.)
Quand on utilise l'adresse IP 0 (ou 0.0.0.0), ça signifie: sur toutes les adresses IP.
(Par exemple, quand on démarre un serveur (Apache, FTPd...) on peut préciser sur quelle adresse il doit écouter. On peut mettre 0.0.0.0 si on veut qu'il écoute sur toutes les interfaces.)

Bahan · Answer

Ok merciet quand j'ai par exmple 192.140.150/8 ca veut dire quoi ?

asevere · Answer

bonjour

Alors Syn c bien un Flag pour demarrer une 'session' TCP
INPUT: c bien ce qui arrive a ton lan
OUTPUT: ce qui va en sortir...

pour 0/0 le premiers signifie toute les IP et les second le nombre de bit du Masque de réseau, donc pour 192.140.150.1/8 c'est 192.0.0.0

pour ce qui est de ton PB il faudrait que tu nous donne les chaines que tu as entrée ... on est pas devins ;-)

@+

Na kaer eo va Breizh,
gand ar mor glaz èn-dro dezi !

Bahan · Answer

ouaou merci bcp bon je vais mettre mon fichier firewall.sh ^_^ dans un prochain messageau fait c 192.140.150/8 y a pas de 1 a la fin de l'adresse IP, ca change qque chose ?

SoBlue · Answer

salut a touspourquoi n'ecris tu pas ton script ds le fichier iptables ????/etc/init.d/iptablessi tu as besoin d'aide n'hesites pas <SoBlue>

Bahan · Answer

bah c pareil j'ai créé un autre script dans init.d qui lance d'abord un flush de mes chaines puis firewall.sh.
Bon alors voici mon fichier, qui est en fait un fichier repris de mon predecesseur :

#!/bin/bash

#Politique de depart
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp --syn --dport 3306 -s 192.140.110.39 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 139 -s 192.140.110.39 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 23 -s 192.140.110.39 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -s 192.140.110.39 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 21 -s 192.140.110.39 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn -s 192.140.110.39 -d 0/0 -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 3306 -s 192.140.110.170 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 139 -s 192.140.110.170 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 23 -s 192.140.110.170 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -s 192.140.110.170 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn --dport 21 -s 192.140.110.170 -d 0/0 -j DROP
iptables -A INPUT -p tcp --syn -s 192.140.110.170 -d 0/0 -j ACCEPT

#MySQL
iptables -A INPUT -p tcp --syn --dport 3306 -s 192.140.150/8 -d 0/0 -j ACCEPT

#Samba (uniquement en reseau local)
iptables -A INPUT -p tcp --syn --dport 139 -s 192.140.150/8 -d 0/0 -j ACCEPT

#HTTPD
iptables -A INPUT -s 192.140.150.131 -p tcp -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 80 -s 0/0 -d 0/0 -j ACCEPT

#HTTPS
iptables -A INPUT -p tcp --syn --dport 443 -s 0/0 -d 0/0 -j ACCEPT

#Telnet pour maj des bases MySQL a partir de la base BDE (uniquement en reseau local)
iptables -A INPUT -p tcp --syn --dport 23 -s 192.140.150/8 -d 0/0 -j ACCEPT

#SSH (uniquement en reseau local)
iptables -A INPUT -p tcp --syn --dport 22 -s 192.140.150/8 -d 0/0 -j ACCEPT

#FTP (uniquement en reseau local)
iptables -A INPUT -p tcp --syn --dport 21 -s 192.140.150/8 -d 0/0 -j ACCEPT

#localhost
iptables -A INPUT -i lo -j ACCEPT

#On accepte les requetes DNS
iptables -A INPUT -p udp --sport 53 -s 192.140.150.99 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -s 192.140.150.98 -d 0/0 -j ACCEPT

#On refuse tout le reste
iptables -A INPUT -p tcp --syn -s 0/0 -d 0/0 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 -j DROP

Si quelqu'un pouvait m'aider a l'ameliorer please. Moi, pauvre newbie des firewalls, je souhaite vraiment en connaitre plus sur leur config.

Merci d'avance les gars

SoBlue · Answer

si je peux me permettre un conseil ,

oublie ce scripte et repart sur un nouveau, car tes besoins sont certainement differents des siens.

Pose toi les bonnes questions :
que veux tu arriver a faire ?
du nat ? du port forwarding...

Apres nous pourrons certainement mieux t'aider

Ensuite un bonne politique de depart est drop et non accept

<SoBlue>

Bahan · Answer

ok bon deja je ne suis pas connecte a internet.
Et de plus je ne veux proteger que ce qu'il y a sur la machine ou est mon firewall.

je sais qu'une bonne politique par defaut est drop
mais des que je met les trois en drop, et ben meme si je permet le ftp ben ca marche pas (cf ligne sur le ftp de script).

mes besoins n'ont pas change de ceux de mon predecesseur. En fait j'aimerai bien ameliorer le tout c vrai ^_^.

Bon alors, si je mets les politiques de base a drop, est ce que dans la suite de mon script je n'ai que des Accept a mettre ? (je mets pas les drop ?)

autre question : si je veux que les autres puissent venir faire du ftp chez moi mais que moi aussi je veux faire du ftp chez eux, je dois prevoir un -A INPUT et un -A OUTPUT ?

et je veux permettre MySQL, Samba, HTTPD, HTTPS, Telnet, SSH, FTP uniquement en reseau local. En fait je n'ai pas compris ce que signifiait le 192.140.150/8 de mon predecesseur quand il parle d'adresse IP.

Merci de m'aider

SoBlue · Answer

apparemment il te faut un cours sur iptables ;-)

192.140.150/8 est la meme chose que 192.140.150/255.255.255.0

c'est a dire que seul les trois premiers morceaux sont pris en compte pour cette regle

Maintenant question importante :
tu veux faire du ftp avec un pc du lan ou avec le firewall ( car c'est completement different pour iptables)
ton serveur ftp c'est le firewall ou un windows de ton lan ?

<SoBlue>

Bahan · Answer

bon alors pour mon server j'ai installe la redhat 8.0 (avec iptables) en serveur.
j'ai ensuite installe (toujours sur le server) proftpd pour faire un server ftp.
mais il existe dans le lan d'autres servers qui ont un server ftp et avec qui je voudrais ftper.

Bahan
"Bonjour, je m'appelle Serge Karamazov, aucun lien"

SoBlue · Answer

OK Alors pour tes serveurs ftp du lan:

iptables -A FORWARD -p tcp --dport 21 --sport 21 - j ACCEPT
mais tu peux encore affiner avec les ip de tes serveurs.

EN clair qd le service que tu veux proposer se situe sur un serveur qui est derriere le firewall la regle est du forward ;

Si le service se trouve sur le firewall en lui meme c'est du input et output.

Si tu es en drop pour les regles de depart tu ne mets que des accept ds le reste :
je t'explique : tu as mis trois drop au depart , donc tout est refusé sauf ce que tu as mis en accept plus loin ds le script

commence tu a y voir plus clair ?

<SoBlue>

Bahan · Answer

yop c bien ce que je pensaismerci je vais pouvoir retravailler tout ca ^_^Bahan"Ah qu'il est beau! Ah qu'il est fort! Ah qu'il est grand mon ami troll du chaooos!"

Config iptables

12 réponses

Votre réponse

Discussions similaires

Newsletters