Iptables et session X
Bobinoo
-
Bobinoo -
Bobinoo -
Bonjour à tous,
J'ai monté un PC sous SUSE Linux 8.2 avec serveur FTP/HTTP/MySQL directement connecté à Internet via une freebox (qui soit dit en passant marche excellement bien)
J'ai donc voulu sécurisé le zinzin avec de l'iptables, tout fonctionne à merveille sauf quand je veux lancer une session X avec un environnement KDE.
Je pensais que le system X dialoguait uniquement sur le port 6000 mais ça n'a pas l'air d'etre le cas.
Voici les règles IPTables mise en place dans le fichier boot.local :
IP.IP.IP.IP est mon adresse IP fixe free.
Si z'avez une idée sur la question merci de me répondre.
J'ai monté un PC sous SUSE Linux 8.2 avec serveur FTP/HTTP/MySQL directement connecté à Internet via une freebox (qui soit dit en passant marche excellement bien)
J'ai donc voulu sécurisé le zinzin avec de l'iptables, tout fonctionne à merveille sauf quand je veux lancer une session X avec un environnement KDE.
Je pensais que le system X dialoguait uniquement sur le port 6000 mais ça n'a pas l'air d'etre le cas.
Voici les règles IPTables mise en place dans le fichier boot.local :
iptables -I INPUT -p udp --sport 1:65535 --dport 1:65535 -j DROP iptables -I INPUT -p tcp --sport 1:65535 --dport 1:65535 -j DROP iptables -I INPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT iptables -I INPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT iptables -I INPUT -p tcp -s IP.IP.IP.IP --sport 1024:65535 --dport 1:65535 -j ACCEPT iptables -I INPUT -p udp -s IP.IP.IP.IP --sport 1024:65535 --dport 1:65535 -j ACCEPT iptables -I INPUT -p tcp -s 127.0.0.1 --sport 1024:65535 --dport 1:65535 -j ACCEPT iptables -I INPUT -p udp -s127.0.0.1 --sport 1024:65535 --dport 1:65535 -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
IP.IP.IP.IP est mon adresse IP fixe free.
Si z'avez une idée sur la question merci de me répondre.
A voir également:
- Iptables et session X
- Site x - Guide
- Sites X : Pornhub, YouPorn et Redtube sont de nouveau accessibles en France - Guide
- Photoscape x - Télécharger - Retouche d'image
- Sit x - Accueil - Protection
- Direct x - Télécharger - Pilotes & Matériel
2 réponses
Salut!
Si si, c'est bien le port 6000 mais c'est en local et une des chose à faire lorsque l'on monte un FW avec iptables/ipchain, c'est de tout accepter sur la machine locale avec les regles:
Ces deux regle sont plus simplt et surtout un poil plus permissives que:
Bref avec ces deux regles, ça devrait fonctionner.
Par contre, un FW ne doit pas seulement protéger ce qui rentre, mais aussi ce qui sort :)
pour ne pas laisser les utilisateurs faire n'importe quoi d'une part (bon cest pas forcement ton cas, mais autant faire les choses a fond)
Dans un cas plus extreme, il faut eviter q'un programme puisse envoyer des données a tout va sans avoir aucun controlle dessus :o)
Si si, c'est bien le port 6000 mais c'est en local et une des chose à faire lorsque l'on monte un FW avec iptables/ipchain, c'est de tout accepter sur la machine locale avec les regles:
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPTBon etant donné que ta regle par default pour la chaine (pardon table) OUPUT est ACCEPT, tu peut te passer de la seconde.
Ces deux regle sont plus simplt et surtout un poil plus permissives que:
iptables -I INPUT -p tcp -s 127.0.0.1 --sport 1024:65535 --dport 1:65535 -j ACCEPT iptables -I INPUT -p udp -s 127.0.0.1 --sport 1024:65535 --dport 1:65535 -j ACCEPTD'ailleurs, tu est sur qu'il n'y a qu'X qui ne fonctionne pas correctement ?
Bref avec ces deux regles, ça devrait fonctionner.
Par contre, un FW ne doit pas seulement protéger ce qui rentre, mais aussi ce qui sort :)
pour ne pas laisser les utilisateurs faire n'importe quoi d'une part (bon cest pas forcement ton cas, mais autant faire les choses a fond)
Dans un cas plus extreme, il faut eviter q'un programme puisse envoyer des données a tout va sans avoir aucun controlle dessus :o)
"Si c'est stupide et que ça marche,
alors ce n'est pas stupide"
Oki, merci, j'essaierai ça ce soir mais j'pense que ça devrait marcher.
Le problème n'est pas vraiment de savoir ce qui sort mais plutot de préserver le serveur d'une attaque en bloquant les ports non utilisés.
Oui il n'y avait effectivement que le X qui ne démarrait pas, tout le reste fonctionnait très bien.
Merci encore pour ton aide.
Le problème n'est pas vraiment de savoir ce qui sort mais plutot de préserver le serveur d'une attaque en bloquant les ports non utilisés.
Oui il n'y avait effectivement que le X qui ne démarrait pas, tout le reste fonctionnait très bien.
Merci encore pour ton aide.
