[Debian] IPTABLES Résolu/Fermé

Question

Bonjour,

J'ai usé d'un tuto afin de créer mon firewall via iptables.
Cela consiste à créer un fichier "/etc/firewall.sh" et un script "/etc/init.d/firewall".

Ma question :

debian:~# /etc/init.d/firewall stop
debian:~# /etc/init.d/firewall start
iptables: No chain/target/match by that name

pouvez-vous me renseigner sur ce message (est-ce normal ou non ?).
je peux vous fournir mes fichiers si nécessaire.

D'avance merci.

 :-))

bob031 · Answer

Autres infos (et non des moindres) :

*) Je possède 2 machines connectées en Ethernet sur une clubinternet-box (routeur) :
1 machine (Debian)
1 machine (Mandriva)


*) mon fichier /etc/firewall.sh

#!/bin/sh

# Regles par defaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# On accepte les connexions boucle locale (sur lo)
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# On accepte les connexions depuis le LAN
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

# On accepte les connexions HTTP et SSH dans les deux sens
iptables -A INPUT -i eth0 -p tcp --sport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# On autorise le ping
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT

# On autorise les connexions TCP et UDP deja etablies a entrer
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT


Merci.

 :-))

bob031 · Answer

RESOLU

Bonjour,

iptables: No chain/target/match by that name

ce message ne devrait pas être. Il faudrait tester les règles une par une afin de cibler le problème 

Je ne pourrais donc expliquer pourquoi, ma première méthode étant très mauvaise. Je suis reparti de 0 pour écrire (avec l'aide d'un célèbre Contributeur) les règles.

Voici donc mes règles "générales" qui fonctionnent.

#!/bin/bash

iptables -F
iptables -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT

# interface lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


Merci à lami20j pour son aide très précieuse.

bonne journée.

 :-))

lami20j · Answer

Salut,

Mheuuu non
je trouve ça très normal.
je suis loin d'être une distribution GNU/Linux ;-)

j'ai d'autres critères pour choisir mes amis :-DDDDDDDDDDDDDDDDDDD

bob031 · Answer

je suis loin d'être une distribution GNU/Linux
c'est ce que je me disais aussi .... quoi que parfois .... -DDDDDD

Après la Edgy ........ la 20j
humour potache, ok ! mais trop bien ..............


PS Arrétez de "polluer"  mon topic" ! -DDDDDD

 :-))

lami20j · Answer

PS Arrétez de "polluer" mon topic"

Si on arrive à polluer ton topic ça veut dire que ton netfilter/iptables n'est pas très performant :-DDDD......................................DDD......etc.

bob031 · Answer

OK ! les Magiciens ! Vous avez gagné ! -DDDDDDDDDDDDDDDDDDDD

On pollue pas, on embellie la morosité des iptables, un point c'est tout ! 
c'est vrai que c'est morose ! -DDD
là je m'occupe de la Mandriva.

Si on arrive à polluer ton topic ça veut dire que ton netfilter/iptables n'est pas très performant
ça y est ! je viens de piger ! -DDDDDDDDDDDDDDDDDD


bien alors j'aurai 1 question siouplé :

1) répétant l'opération "Iptables" pour la mandriva dois-je virer firestarter (que j'avais installé) ??

merci.

 :-))

PS : je vous ai pas présenté mes "amis" ?? -DDDDD

bob031 · Answer

répétant l'opération "Iptables" pour la mandriva dois-je virer firestarter (que j'avais installé)

bon ben je l'ai viré ! la question ne se pose plus !

jipicy : PS. Déjà qu'il n'est pas très explicite le titre de TON topic : ça y est je viens de piger le jeu de mots ! -DDDD

 :-))

lami20j · Answer

Salut,

voici mon fichier pour mes règles iptables : 
ce n'est pas ton script qui est interessant ;-))

active ton firewall sur les 2 machines et affiche pour chaque machine le résultat de iptables -v -L -n

bob031 · Answer

Merci ,

debian:~# iptables -v -L -n
Chain INPUT (policy DROP 1 packets, 196 bytes)
 pkts bytes target     prot opt in     out     source               destination                                             
    0     0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0                                               
    0     0 ACCEPT     0    --  eth0   *       0.0.0.0/0            192.168.1.2                                                     state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       192.168.1.3          192.168.1.2                                                     tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       xx.xxx.xxx.xxx       192.168.1.2                                                     tcp dpt:22

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                             

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                             
    0     0 ACCEPT     0    --  *      lo      0.0.0.0/0            0.0.0.0/0                                               
    0     0 ACCEPT     0    --  *      eth0    192.168.1.2          0.0.0.0/0                                                       state NEW,RELATED,ESTABLISHED,UNTRACKED
debian:~#                               

 :-))

bob031 · Answer

Re-,

Un indice (je ne sais pas si il y a un lien de cause à effet mais ...) :

cela s'est produit après une perte de connection (que j'ai imputé à mon FAI, à tort ou à raison ?). Est-il possible que cela vienne de mon routeur ?

 :-))

bob031 · Answer

Re-,

Je pense avoir trouver le problème ! Les ip se sont interverties entre les machines !

 :-))

lami20j · Answer

Salut,

si tu as un IP publique fix, désactive le dhcp de ton routeur (SINON DEMANDE A TON FAI DE TON DONNER UN IP DYNAMIQUE :-DDDDDDDDDDD ) et configure manuellement sur tes PC l'interface

comme tu ne risques pas que tes IP ............................:-DDDDDDDDDDDDDDD

bob031 · Answer

Salut,

Je me doutais bien qu'il y avait matière à rire. -DDDDDDDDD
en effet suite à l'incident (coupure de connection), j'ai éteins mon routeur. Et en rallumant ......le gag ! :-))

lami20j : comme je n'ai pas tout compris et que je ne tiens pas à faire une ânerie, je me contenterai pour l'instant de modifier mes fichiers.

bob031 · Answer

http://192.168.1.1/
Informations DHCP
Adresse IP  	Expiré dans
192.168.1.2	6 jours, 18 heurres, 55 minutes, 4 secondes
192.168.1.3	6 jours, 19 heurres, 5 minutes, 46 secondes
--

c'est ce que tu me soulignais lami20J ?

 :-))

Je vous présente "Etch" et "Spring" ...........
....... histoire d'être tout de suite dans l'ambiance !

lami20j · Answer

Salut,

tu peux modifier le bail

bob031 · Answer

Merci beaucoup pour le lien. Exactement ce qu'il me fallait.
Regarderai tout ça demain à tête reposée.

Une dernière petite question : sur la config du routeur lorsque je veux aller en mode expert j'ai droit à un login et mot de passe : je vois pas lesquels ???

Merci.

 :-))

lami20j · Answer

Une dernière petite question : sur la config du routeur lorsque je veux aller en mode expert j'ai droit à un login et mot de passe : je vois pas lesquels ??? 

Ne commence pas à m'énerver ;-))
Regarde ton bouquin de Club Internet, il me semble que je te l'ai déjà dit :-DD

bob031 · Answer

Salut jipicy et merci ! ça me dit quelque chose effectivement ! :-))

Regarde ton bouquin de Club Internet, il me semble que je te l'ai déjà dit
bon sang ! ça y est ! La scène me revient : "fouiller dans mon bazar afin de remettre la main sur la "feuille format A2 pliée en 6" qui une fois pliée en 6 se transforme subitement en mini-livret ou "bouquin" ! -DDDDDDDDDDDDDDDDD

Ne commence pas à m'énerver 
tu peux ! y a de quoi ! ;-)

du coup je pense avoir tout pigé : la coupure internet d'hier n'était pas dû à mon FAI mais probablement au DHCP. Ben si c'est ça : wouaaaaaaaa, honte à moi ! 

bonne soirée à tous les deux !

 :-))

bob031 · Answer

Salut,

Je souhaite rajouter à mes règles iptables l'autorisation du ping .....

Pour m'aider je suis tombé sur ceci :
# On autorise le ping avec moderation : pas plus de 2 ping par seconde
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT


....  mais uniquement entre mes deux machines chacune reliée à un même routeur (ethernet) !

j'ai essayé en faisant (pour la debian) :

iptables -A INPUT -i eth0 -d "ip-debian" -s "ip-mandriva" -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -s "ip-debian" -d "ip-mandriva" -p icmp -j ACCEPT

mais ça marche pô ! dois-je rajouter -m state --state NEW,ESTABLISHED,RELATED ?

merci !

 :-))

bob031 · Answer

Ok ! ça marche !

pour la debian :
# On autorise le ping avec moderation : pas plus de 2 ping par seconde
iptables -A OUTPUT -o eth0 -s "ip-debian" -d "ip-mandriva" -p icmp -m state --stat
e NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -d "ip-debian" -s "ip-mandriva" -p icmp -m state --state
 NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT

rien à redire concernant la ligne en gras ci-dessus et ci-dessous ? 

debian:~# iptables -v -L -n
Chain INPUT (policy DROP 24 packets, 2524 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
  367  403K ACCEPT     0    --  eth0   *       0.0.0.0/0            192.168.X.X         state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       192.168.X.X          192.168.X.X         tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       XX.XXX.XXX.XX       192.168.X.X         tcp dpt:22
    8   672 ACCEPT     icmp --  eth0   *       192.168.X.X          192.168.X.X         state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 2/sec burst 5

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  *      lo      0.0.0.0/0            0.0.0.0/0
  289 33979 ACCEPT     0    --  *      eth0    192.168.1.3          0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED
    0     0 ACCEPT     icmp --  *      eth0    192.168.1.3          192.168.1.2         state NEW,RELATED,ESTABLISHED
debian:~#


merci.

 :-))

[Debian] IPTABLES

20 réponses

Discussions similaires