Iptables pour serveur PXE CentOS

Fermé
kiwiwips - Modifié par kiwiwips le 8/03/2017 à 15:51
kiwiwips Messages postés 5 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 13 mars 2017 - 12 mars 2017 à 17:23
Bonjour,

Quelles sont les règles idéales pour n'autoriser que les flux nécessaires à un serveur PXE sous CentOS7 ?

J'ai trouvé sur internet les ports 67, 68, 69 et 4011 mais les autoriser en INPUT ne me permet que de récupérer une adresse ip pour mon client sur le réseau.

Je précise que lorsque tout est ouvert (INPUT, FORWARD et OUTPUT ACCEPT) mon pxe fonctionne.

Config tentée :

--------------

:INPUT DROP
-A INPUT -p tcp -i ens192 --state NEW --dport 67 -j ACCEPT
-A INPUT -p tcp -i ens192 --state NEW --dport 68 -j ACCEPT
-A INPUT -p udp -i ens192 --state NEW --dport 67 -j ACCEPT
-A INPUT -p udp -i ens192 --state NEW --dport 68 -j ACCEPT
-A INPUT -p tcp -i ens192 --state NEW --dport 69 -j ACCEPT
-A INPUT -p udp -i ens192 --state NEW --dport 69 -j ACCEPT
-A INPUT -p udp -i ens192 --state NEW --dport 4011 -j ACCEPT
-A INPUT -p tcp -i ens192 --state NEW --dport 4011 -j ACCEPT
-A INPUT -i ens160 -j ACCEPT


:FORWARD DROP

:OUTPUT ACCEPT

--------------

Merci de votre aide :)

4 réponses

brupala Messages postés 110651 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 décembre 2024 13 860
8 mars 2017 à 16:13
Salut,
tcp est probablement inutile, udp doit suffire.
pour tftp le serveur écoute sur 69 udp
c'est quoi quoi l'interface ens160 ?
essaie de capturer le traffic avec tcpdump avec tout en accept pour voir les ports utilisés.
0
kiwiwips Messages postés 5 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 13 mars 2017
8 mars 2017 à 16:47
Bonjour brupala,

. ens160 est une de mes 2 interfaces, je ne l'utilise pas pour le moment donc tout est open.

. ens192 est l'interface du "service pxe" et du dhcp donc.

. tcpdump me donne ces résultats :
0
brupala Messages postés 110651 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 décembre 2024 13 860
Modifié par brupala le 8/03/2017 à 20:02
OK,
il faudrait le refaire avec l'option -n port avoir les numéros de ports et les adresses ip plutôt.
parce que acp-port ou ah-esp-encap, ce n'est pas bien clair comme numéros de ports udp.
en fait, si, c'est 2070 et 2071, avec le 57040 pour le transfert aussi.
refais des tests pour voir si ce sont toujours ceux là qui sont utilisés par le client pxe et tu les acceptes alors dans iptables,
Si ces ports changent, tu devras autoriser des plages ou bien .... tout udp.
0
brupala Messages postés 110651 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 décembre 2024 13 860 > brupala Messages postés 110651 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 décembre 2024
9 mars 2017 à 10:00
option -nn peut-etre plutôt ?
0
kiwiwips Messages postés 5 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 13 mars 2017
9 mars 2017 à 09:55
Bonjour,

Le sports utilisés diffèrent à chaque fois..

J'ai donc autoriser tout le protocole UDP dans iptables, et uniquement celui-ci.

Ce n'est pas très fin, mais faute de mieux.

Merci de votre aide :)
0
brupala Messages postés 110651 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 décembre 2024 13 860
9 mars 2017 à 10:14
Tu peux aussi limiter aux adresses mac autorisées en PXE ....
-m mac ! --mac-source MACHINE1 -j DROP
ou quelque chose comme ça ....
0
kiwiwips Messages postés 5 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 13 mars 2017
12 mars 2017 à 17:23
Re,

J'ai maintenant un soucil avec le port 21 de mon serveur, j'ai ouvert un sujet ici : https://forums.commentcamarche.net/forum/affich-34439066-dracut-initqueue-error-client-centos-7-pxe-centos-server#p34439066

J'ai totalement ouvert iptables mais impossible de contacter le serveur sur le port 21...
0