10 réponses
mamiemando
Messages postés
33446
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 décembre 2024
7 811
Modifié le 21 févr. 2021 à 01:30
Modifié le 21 févr. 2021 à 01:30
Bonjour,
Tu te connectes avec putty en ssh ? Y a-t'il des règles résiduelles (voir
Même si normalement
Ce tutoriel montre comment n'ouvrir que ssh, ce qui donnerait en gros :
Ce que je te recommande c'est de faire grossir ton script petit à petit en y ajoutant progressivement des règles, ça te permettra de trouver celle qui bloque.
Bonne chance
Tu te connectes avec putty en ssh ? Y a-t'il des règles résiduelles (voir
iptables -L) ?
Même si normalement
iptables -Pest sensé définir la politique par défaut, j'aurais tendance à l'écrire en premier, puis ensuite ouvrir les ports adéquats avec
iptables -A.
Ce tutoriel montre comment n'ouvrir que ssh, ce qui donnerait en gros :
iptables -F
iptables -X
iptables -t filter -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --sport 22 -j ACCEPT
iptables -t filter -A INPUT -j DROP
iptables -t filter -A OUTPUT -j DROP
iptables -L
Ce que je te recommande c'est de faire grossir ton script petit à petit en y ajoutant progressivement des règles, ça te permettra de trouver celle qui bloque.
Bonne chance
mamiemando
Messages postés
33446
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 décembre 2024
7 811
19 févr. 2021 à 01:54
19 févr. 2021 à 01:54
Bonjour,
Cette page de documentation couvre la plupart des règles
Si cela ne suffit pas, précise nous ta question ou les problèmes que tu rencontres.
Bonne chance
Cette page de documentation couvre la plupart des règles
iptablesdont on peut avoir besoin pour des utilisations classiques. Il faut bien sûr être
root(ou précéder les commandes
iptablesde
sudo) pour pouvoir les exécuter.
Si cela ne suffit pas, précise nous ta question ou les problèmes que tu rencontres.
Bonne chance
Voilà, j'ai fait un fichier iptables exécutable. Je me connecte avec PuTTY sur Windows 10, puis, j'éxécute mon fichier iptables
Mais au bout d'un moment PuTTY se déconnecte, iptables le bloque. :(
J'aurais besoin, ce que je dois faire pour autoriser PuTTY à continuer à fonctionner, et à distance aussi je me serts de VNC client pour le bureau (d'où le port 5901).
Merci d'avance
#!/bin/bash iptables-restore < /etc/iptables.test.rules sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport https -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 6144 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 58950 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 58966 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 23 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 8080 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT sudo iptables -A INPUT -p tcp -i eth0 --dport 5901 -j ACCEPT sudo iptables -P INPUT DROP sudo iptables -I INPUT 2 -i lo -j ACCEPT sudo iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p icmp -j ACCEPT
Mais au bout d'un moment PuTTY se déconnecte, iptables le bloque. :(
J'aurais besoin, ce que je dois faire pour autoriser PuTTY à continuer à fonctionner, et à distance aussi je me serts de VNC client pour le bureau (d'où le port 5901).
Merci d'avance
Ok. Merci bien, le tuto me semble intéressant et complet. Je vais le lire sérieusement, et je te dirais si j'ai réussi ou pas. :)
mamiemando
Messages postés
33446
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 décembre 2024
7 811
Modifié le 21 févr. 2021 à 01:45
Modifié le 21 févr. 2021 à 01:45
Ok :-) Bonne chance !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Et dis moi mon ami, sais tu comment ouvrir une plage de ports? Par ex, ports 58900 à port 59000 sont ouverts? Parce-que j'ai l’impression que j'aurais besoin de cela pour faire foncionner PuTTY, car j'ai l’impression qu'il se sert de ces ports là, je sais pas trop pourquoi, mais je l'ai vu avec netstat.
Merci d'avance.
Merci d'avance.
mamiemando
Messages postés
33446
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 décembre 2024
7 811
Modifié le 26 févr. 2021 à 18:06
Modifié le 26 févr. 2021 à 18:06
Bonjour,
Pour moi "ouvrir un port" signifie juste ne pas le rejeter. C'est ce que font tes règles
Il faut bien entendu qu'un service écoute sur ce port (e.g.
Exemple : Ici
Si la connexion n'est pas établie, il y a probablement proxy ou un firewall qui filtre la communication entre le client et le serveur. Ça peut alors valoir le coup de regarder les logs du service en question (ici avec
Dans ton cas si ça marche sans tes règles
Bonne chance
Pour moi "ouvrir un port" signifie juste ne pas le rejeter. C'est ce que font tes règles
iptables ... -j ACCEPT. Ensuite pour putty, vu que tu te connectes vraisemblablement en ssh, il suffit que le port 22 soit ouvert en entrée et en sortie (voir ce message).
Il faut bien entendu qu'un service écoute sur ce port (e.g.
sshdécoute traditionnellement sur le port 22) et que sa
bind-address(voir netstat -ntlp) accepte le trafic sur l'interface par laquelle il est contacté.
Exemple : Ici
sshdaccueille le trafic IPv4 et IPv6 sur le port 22 et l'ensemble des interfaces (
0.0.0.0:22et
:::22)
(root@silk) (~) # netstat -ntlp Connexions Internet actives (seulement serveurs) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1250/cupsd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1108/exim4 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 10913/sshd: /usr/sb tcp6 0 0 ::1:631 :::* LISTEN 1250/cupsd tcp6 0 0 :::25 :::* LISTEN 1108/exim4 tcp6 0 0 :::111 :::* LISTEN 1/init tcp6 0 0 :::1716 :::* LISTEN 1498/kdeconnectd tcp6 0 0 :::22 :::* LISTEN 10913/sshd: /usr/sb
Si la connexion n'est pas établie, il y a probablement proxy ou un firewall qui filtre la communication entre le client et le serveur. Ça peut alors valoir le coup de regarder les logs du service en question (ici avec
sudo tail -f /var/log/auth.log), en logguant les paquets filtrés. Tu peux aussi regarder avec
wiresharkce qui se passe au niveau du client (idem au niveau du serveur).
Dans ton cas si ça marche sans tes règles
iptables, c'est que le problème vient de là. En particulier, dans ton message typiquement, seul le trafic entrant sur le port 22 était autorisé, mais pas le trafic sortant (donc les paquets de putty arrivaient jusqu'à
sshd, mais pas le contraire).
Bonne chance
barnabe0057
Messages postés
14454
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
30 novembre 2024
4 918
1 mars 2021 à 15:10
1 mars 2021 à 15:10
Bonjour,
S'il s'agit d'un problème de freeze de la connexion SSH, le coupable n'est pas forcément iptables :
https://www.thegeekdiary.com/how-to-stop-ssh-session-from-getting-timed-out/
S'il s'agit d'un problème de freeze de la connexion SSH, le coupable n'est pas forcément iptables :
https://www.thegeekdiary.com/how-to-stop-ssh-session-from-getting-timed-out/
Ah oki merci, c'est bon à savoir.
Mais j'ai aucun problème quand je lance pas iptables, et après l'avoir lancé avec le script que j'ai présenté plus haut (connections entrantes déjà actives sont gardés), PuTTY se déconnecte et seulement après avoir lancé le script.
Mais j'ai aucun problème quand je lance pas iptables, et après l'avoir lancé avec le script que j'ai présenté plus haut (connections entrantes déjà actives sont gardés), PuTTY se déconnecte et seulement après avoir lancé le script.
barnabe0057
Messages postés
14454
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
30 novembre 2024
4 918
Modifié le 2 mars 2021 à 15:33
Modifié le 2 mars 2021 à 15:33
Ok merci pour la précision, j'ai posté cette solution car j'ai été embêté plusieurs fois car SSH n'était pas configuré par défaut pour faire durer la connexion plusieurs heures.
Bonne journée.
Bonne journée.