[iptables]mon script , mais ça marche po

Question

bonjour,
j'ai mis un script iptables sur mon serveur debian avec:
1 eth0 pour internet
1 eth1 pour le lan1
1 eth2 pour le lan 2
le lan 1 et le lan 2 vont sur internet [ sa ça marche]
le poste du lan 1 va sur le serveur en ssh  [ sa ça marche]
sur le serveur en mode console aller sur internet [ sa ça marche pas] (exemple aptitude pour mis a jour)

quelqu'un pourrait il me dire et m'indiquer la regle pour que ,à partir du serveur, j'aille sur le net ?
et est ce que mon script est correct ?

mon script 

#!/bin/sh

#reinitialisation
# Reset counters
iptables -Z
iptables -Z -t mangle
iptables -Z -t nat

# Flush rules
iptables -F
iptables -F -t nat
iptables -F -t mangle

#je bloque tout
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
echo 1 > /proc/sys/net/ipv4/ip_forward



#accepte connex lo
iptables -A INPUT -i lo -j ACCEPT



iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20



#Pour la premiere carte vers eth0
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Pour la seconde carte vers eth0
iptables -A FORWARD -i eth2 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# ssh
iptables -A INPUT -p tcp -m tcp -s 192.168.223.42 --dport 22 -j ACCEPT

lami20j · Answer

Salut,
x.x.x.x c'est l'ip de server

Au lieu de mettre dans le script
echo 1 > /proc/sys/net/ipv4/ip_forward

tu peux écrire cette ligne net.ipv4.ip_forward=1 dans le fichier /etc/sysctl.conf
#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

iptables -A INPUT -i eth0 -d x.x.x.x -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
#
##Pour la premiere carte vers eth0
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
##Pour la seconde carte vers eth0
iptables -A FORWARD -i eth2 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
## ssh
iptables -A INPUT -p tcp -m tcp -s 192.168.223.42 --dport 22 -j ACCEPT

seleco · Answer

bonjour 

merci a toi lam20j , trop top , hyper rapide 
le script marche impec
merci encore car ça faisait un moment que je me cassait le c.. 
et là en 2 coups de cuilleres à pot , tu me sauve la mise 
chapeau bas

@+

lami20j · Answer

de rien :-)

bonne continuation

seleco · Answer

bonjour,

suite à la demande express des enfants , et certains adultes
il me demande ml--key
je pense que c'est niette sur le forum , 
alors comment fermer les ports sur eth1 et eth2 pour qu'il ne passe que 21,80,443 etc.. les principaux

et me mettre un exemple d'ouverture de port pour l'eth0 exmple  4662

merci encore

Marc · Answer

Hello

pourquoi pas une boucle dans ton script ?

Dans le style

for each port in ( 21, 80, 443, ... ) do

   iptables -A FORWARD -i eth1 -o eth0 -p tcp -dport $port -m state --state ! INVALID -j ACCEPT
   iptables -A FORWARD -o eth1 -i eth0 -p tcp -dport $port -m state --state ESTABLISHED,RELATED -j ACC
   #
   ##Pour la seconde carte vers eth0
    iptables -A FORWARD -i eth2 -o eth0 -p tcp -dport $port -m state --state ! INVALID -j ACCEPT
   iptables -A FORWARD -o eth2 -i eth0 -p tcp -dport $port -m state --state ESTABLISHED,RELATED -j ACC

   # + accept udp, ...
done

(syntaxe a revoir et attention sens dport/sport)

Bonne journée !

seleco · Answer

bonjour , 
merci marc , j'essais de comprendre , mais je suis ni doué pour le bash et ni sur iptables

il me faudrait un exemple concrés (si possibles , bien sur)

comme m'avais fait lami20j qui etait parfait
bonne journée

lami20j · Answer

avec la variante de marc tu n'est pas obligé de taper la même ligne plusieurs fois
en revanche si tu veux avoir les règles une par une voici un exemple

à savoir que si tu interdit l'accès sur le ports 80 on ne peux plus accéder à web
et tu sur de vouloir faire ça?
ce n'est pas plutôt l'intêret d'interdire l'access à certains sites?

il faut voir aussi la politique adoptée
- interdire tout et laisser accès à certains ports
- accepter tout et interdire l'accès à certains ports#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

iptables -A INPUT -i eth0 -d x.x.x.x -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
#
##Pour la premiere carte vers eth0
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --dport 80 -j DROP
iptables -A FORWARD -i eth1 -o eth0 --dport 21 -j DROP
iptables -A FORWARD -i eth1 -o eth0 --dport 443 -j DROP
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
#
##Pour la seconde carte vers eth0
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 --dport 80 -j DROP
iptables -A FORWARD -i eth2 -o eth0 --dport 21 -j DROP
iptables -A FORWARD -i eth2 -o eth0 --dport 443 -j DROP
iptables -A FORWARD -i eth2 -o eth0 -m state --state ! INVALID -j ACCEPT
#
## ssh
iptables -A INPUT -p tcp -m tcp -s 192.168.223.42 --dport 22 -j ACCEPT

seleco · Answer

je vais essayé d'etre clair pour ma strategie

tous les ports sont fermés pour eth1 et eth2 vers eth0 , sauf que 
l' on autorise , une fois que sur eth1 et eth2 soit connecté , les ports ftp(21),http(80), https(443), outlook(j'me rappel plus les ports),msn et puis c'est tout
je le ferais ligne par ligne , c'est plus parlant pour moi , surtout si je doit en mettre d'autre

et ensuite ouvrir un port 4662 sur eth0
là aussi ligne par ligne , car je prendrais l'exemple pour en faire d'autre (ligne bien sur) 

voila , en d'autre termes je n'autorise pas eth1 et eth2 à mettre p2P
et j'autorise le serveur à y aller

merci

ps - peut etre en mp

lami20j · Answer

Qui a le droit d'admin sur les machines de ton LAN à part toi?

seleco · Answer

personne , que moi

lami20j · Answer

Alors pourquoi tu te complique la vie?! :-))

si tu ne veux pas P2P alors tu n'as qu'à désinstaller les logiciels ou ne pas installer 
les machines de ton LAN ont quoi comme OS?!

seleco · Answer

j'aime bien me compliquer la vie ,
j'plaisante
je n'ai pas acces aux autres postes , je ne suis que le mec qui autorise ou non , et je prefere gerer le serveur que les postes qui s'y connectent, pour garder une bande passante "correcte" , et faire des users et groups sur m--key pour ceux qui me demanderai pourquoi il ne peuvent pas faire marcher mumule

je saurais pas non plus quel OS ils ont je leur donne uniquement le gateway , l'ip et masque , dns

lami20j · Answer

voila , en d'autre termes je n'autorise pas eth1 et eth2 à mettre p2P 

je pense que tu le sais qu'on peut changer le port dans les logiciels P2P, donc si 4662 ne marchera pas, ils vont configurer un autre port
as-tu déjà pensé?

seleco · Answer

si je mets que tous les ports sont fermés pour eth1 et eth2 vers eth0 , sauf que
l' on autorise , une fois que sur eth1 et eth2 soit connecté , les ports ftp(21),http(80), https(443), outlook(j'me rappel plus les ports),msn et puis c'est tout

le 4662 ne sert que pour le serveur

lami20j · Answer

essaie ça (je n'ai pas testé chez moi)#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

iptables -A INPUT -i eth0 -d x.x.x.x -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
#
##Pour la premiere carte vers eth0
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --dport 20:21 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP
#
##Pour la seconde carte vers eth0
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 --dport 20:21 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j DROP
#
## ssh
iptables -A INPUT -p tcp -m tcp -s 192.168.223.42 --dport 22 -j ACCEPT

seleco · Answer

bonjour ,
merci pour le script et la rapidité,
j'ai pas eu , encore ,le temps d'essayer , y a du monde chez moi
j'ai juste jeté un oeil 
je le test dés que j'ai un moment "calme"
juste que je n'ai pas vu l'ouverture du port 4662
est ce volontaire ou un oubli ?

merci encore 
@+

lami20j · Answer

le 4662 ne sert que pour le serveur
non, ce n'est pas un oublie, mais ce n'est pas nécessaire de créer une règle pour ça
le server a déjà accès par tout (voir cette règle dans le script)iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

seleco · Answer

bonjour
merci pour script ça fonctionne , sauf
le 4662 que me met en Lo ID ; malgré l'ouverture du port sur la neufbox

aurai tu une idée d'où ça vient ?

merci

lami20j · Answer

Salut,

regarde ici emule lowid

seleco · Answer

oui , j'avais deja lu , et je m'en suis meme servi pour le reglage de ma box
ils disent bien 
Pour y remédier, il est nécessaire d'ouvrir les ports 4662 TCP, 4672 UDP, 4661 TCP et 4665 UDP sur le pare-feu (firewall) ! Attention, si vous avez une "box" (Livebox, Freebox, 9box etc ....), celle-ci dispose aussi d'un pare-feu. 

le  Attention, si vous avez une "box" (Livebox, Freebox, 9box etc ....), celle-ci dispose aussi d'un pare-feu. est deja fait

seleco · Answer

bonjour, 
j'ai installé apache et php sur mon serveur , mais personnes de l'exterieur peut y aller

où est le probleme dans l'iptables ?

merci

lami20j · Answer

Salut,

il faut ouvrir le port 80

ajoute cette règle dans ton script
iptables -A INPUT -p tcp -i eth0 -d xxx.xxx.xxx.xxx --dport 80 -j ACCEPT

seleco · Answer

merci encore , mais j'avais essayé ça , à peu pres, mais ça ne marche pas

en root
 nmap -p 80 192.168.1.20

Starting Nmap 4.20 ( https://insecure.org/ ) at 2007-08-08 22:11 CEST
Interesting ports on 192.168.1.20:
PORT   STATE  SERVICE
80/tcp closed http

et par internet :
Voici les résultats du Scan de l'adresse IP 77.198.190.116 entre le port 80 et 80

Le port TCP 80 est fermé

lami20j · Answer

tu passes par un routeur il me semble
je me trompe?!

seleco · Answer

oui par la neufbox où j'ai ouvert tout les ports de 1 à 65535 vers le serveur



#  Nom  	Protocole  	Port / plage  	Ports externes  Adresse IP de destination  	Ports destination  	
1 	PORTS 	les deux 	Plage de ports 	1-65535 	                 xxx.xxx.xxx.xxx                         1-65535


xxx.xxx.xxx.xxx adresse du serveur

lami20j · Answer

Ca ne suffit pas
Il faut préciser que la machine xxx.xxx.xxx.xxx de ton LAN offre le service httpd sur le port 80
d'ailleurs tu peux toujours desactiver le firewall pour faire des tests
comme ça on pourra decouvrir où ça coince :-)

seleco · Answer

je crois que si je desactive le firewall , je n'aurais plus acces en ssh sur le serveur , car il se trouve dans un autre batiment
est ce vrai ?

lami20j · Answer

tu desactives seulement la table FILTER, ne touche pas la TABLE NAT
ainsi tu ne perdras la connexion

seleco · Answer

heu , table filter c'est les fowards ?

lami20j · Answer

pas besoin de modifier le script
cette commande en root te permettra d'accepter tout
si tu veux reactiver le firewall tu n'as qu'à exécuter le script
iptables -A INPUT -i eth0 -d x.x.x.x  -j ACCEPT

seleco · Answer

je ne peut pas le faire pour le moment , il y a du monde qui surf

j'ai essayé , en attendant , iptables -v -L -n | grep 80


 iptables -v -L -n | grep 80
    2   120 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.1.20        tcp dpt:80
    7   336 ACCEPT     tcp  --  *      *       192.168.220.0/22     0.0.0.0/0           tcp dpt:4080

par contre le nmap -p 80 -v 192.168.1.20

PORT   STATE  SERVICE
80/tcp closed http

bizzard

là je ne suis que sur le serveur

lami20j · Answer

affiche le résultat de iptables-save

seleco · Answer

voici

 iptables-save
# Generated by iptables-save v1.3.6 on Wed Aug  8 23:56:44 2007
*nat
:PREROUTING ACCEPT [19601:1827075]
:POSTROUTING ACCEPT [10373:463324]
:OUTPUT ACCEPT [13772:612975]
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.20
COMMIT
# Completed on Wed Aug  8 23:56:44 2007
# Generated by iptables-save v1.3.6 on Wed Aug  8 23:56:44 2007
*mangle
:PREROUTING ACCEPT [770970:562975455]
:INPUT ACCEPT [30576:1927103]
:FORWARD ACCEPT [740394:561048352]
:OUTPUT ACCEPT [25410:1264650]
:POSTROUTING ACCEPT [765774:562302871]
COMMIT
# Completed on Wed Aug  8 23:56:44 2007
# Generated by iptables-save v1.3.6 on Wed Aug  8 23:56:44 2007
*filter
:INPUT DROP [8560:951122]
:FORWARD DROP [25:4493]
:OUTPUT ACCEPT [22005:1115220]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 192.168.1.20 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.20 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.220.0/255.255.252.0 -p tcp -m tcp --dport 4080 -j ACCEPT
-A INPUT -s 192.168.223.42 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
COMMIT
# Completed on Wed Aug  8 23:56:44 2007

lami20j · Answer

affiche
ps aux | grep httpd

seleco · Answer

vi 

 ps aux | grep httpd
root      8089  0.0  0.3   3524   688 pts/0    R+   00:11   0:00 grep httpd

lami20j · Answer

ben, voilà pourquoi ça ne marche pas
ton serveur est arrêté/etc/init.d/httpd start

seleco · Answer

oups c'est apache 

ps aux | grep apache
root      8071  0.0  1.1   4892  2152 ?        Ss   00:10   0:00 /usr/sbin/apache
www-data  8072  0.0  0.4   4892   952 ?        S    00:10   0:00 /usr/sbin/apache
www-data  8074  0.0  0.4   4892   952 ?        S    00:10   0:00 /usr/sbin/apache
www-data  8075  0.0  0.4   4892   952 ?        S    00:10   0:00 /usr/sbin/apache
www-data  8076  0.0  0.4   4892   952 ?        S    00:10   0:00 /usr/sbin/apache
www-data  8077  0.0  0.4   4892   952 ?        S    00:10   0:00 /usr/sbin/apache
root      8101  0.0  0.3   3524   688 pts/0    R+   00:23   0:00 grep apache

lami20j · Answer

affiche
netstat -lpn | grep '80 '

seleco · Answer

netstat -lpn | grep '80 '
tcp        0      0 0.0.0.0:40780           0.0.0.0:*               LISTEN     1651/rpc.statd
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     8071/apache

lami20j · Answer

ok, alors il faut voir dans ton routeur
je ne connais pas la neuf
mais tu dois avoir un onglet où tu peux spécifier la machine qui fera le serveur web
par exemple chez moi j'ai ça (j'ai un routeur netgear derrier la freebox)
https://www.cjoint.com/?iiwQrpoqOk

lami20j · Answer

que te donne?
nmap localhost -p 80

seleco · Answer

ok merci pour tout
je vois ça demain
bonne nuit

seleco · Answer

bonjour
ho ye, ça marche
apres une bonne nuit
et surtout apres un reboot de la neufbox et du serveur
nikel
je ne vais surtout pas chercher pourquoi , je pense qu'a force de trifouiller dans l'bazzar , j'ai fait quelque chose de pas catho
merci à toi lami20j pour ta patience
@+

[iptables]mon script , mais ça marche po

43 réponses

Votre réponse

Discussions similaires