PB avec règles IPTABLES
slisko
-
cocoche95 Messages postés 1187 Statut Contributeur -
cocoche95 Messages postés 1187 Statut Contributeur -
Bonjour,
j'ai un soucis avec mes règles IPTABLES, ne n'arrive plus a acceder à ma station à distance en SSH ou en FTP ou en WEB.
j'ai créé un post dans la rubrique Linux parceque j'utilise LINUX.
malgré tout c'est un pb essentiellement réseau je pense.
le post en question est celui ci:
http://www.commentcamarche.net/forum/affich 9479862 script iptables
je ne fais pas de copier coller pour ne pas avoir un sujet en doublon et par respect pour les personnes qui m'ont aidé sur le forum Linux.
merci à ceux qui pourront m'aider :)
j'ai un soucis avec mes règles IPTABLES, ne n'arrive plus a acceder à ma station à distance en SSH ou en FTP ou en WEB.
j'ai créé un post dans la rubrique Linux parceque j'utilise LINUX.
malgré tout c'est un pb essentiellement réseau je pense.
le post en question est celui ci:
http://www.commentcamarche.net/forum/affich 9479862 script iptables
je ne fais pas de copier coller pour ne pas avoir un sujet en doublon et par respect pour les personnes qui m'ont aidé sur le forum Linux.
merci à ceux qui pourront m'aider :)
A voir également:
- PB avec règles IPTABLES
- Regles telephone - Guide
- Calendrier règles gratuit - Télécharger - Santé & Bien-être
- Instagram votre compte ne respecte pas les règles de la communauté - Guide
- Règles excel - Guide
- Une erreur est survenue lors de la création de la page. veuillez vous assurer de respecter les règles relatives aux pages. - Forum Facebook
3 réponses
Salut !
Tu peux me remettre une liste de ton iptables, car je m'embrouille un peu dans ton post chez linux land !
Je pense savoir d'où viens ton problème mais je voudrai en être sûr.
Tu peux me remettre une liste de ton iptables, car je m'embrouille un peu dans ton post chez linux land !
Je pense savoir d'où viens ton problème mais je voudrai en être sûr.
Je suppose que l'adresse ip de ton serveur est 192.168.1.1
Je te conseil ces lignes, sachant que ta OUTPUT POLICY est ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Par contre, je ne comprends pas ces deux lignes à quoi tes servent elles ? :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
Malgré tout je te conseil de mettre la OUTPUT POLICY en DROP et d'ajouter les lignes :
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Voilà, dis moi si cela change qq chose !
Je te conseil ces lignes, sachant que ta OUTPUT POLICY est ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Par contre, je ne comprends pas ces deux lignes à quoi tes servent elles ? :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
Malgré tout je te conseil de mettre la OUTPUT POLICY en DROP et d'ajouter les lignes :
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -s 192.168.1.1 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Voilà, dis moi si cela change qq chose !
merci pour ta reponse
les lignes :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
sont pour autoriser le traffic sur mon LAN qui est pour moi une zone de confiance.
j'accepte pour l'instant le traffic sortant, je ferai peut etre la modif tres bientot c'est a dire qd ça marchera. :)
parceque malgré ton coup de main, ça ne fonctionne toujours pas.
ce qui est qd même une histoire incroyable, les lignes que tu m'as soumises j'imagine que c'est une configuration qui fonctionne chez toi, c'est pas si different de ce que j'avais au départ, et ça ne marche toujours pas.
j'abandonne pour ce soir, mais dès demain, je vais faire ce que j'aurais du faire depuis qque temps c'est a dire un bon flush de toute les règles j'enlève iptables du groupe de démarrage, et qd je serais revenur a point de départ, c'est a dire, tout marche sans filtrage, et ben je repartirais du départ petit à petit en ajoutant les règles au compte goutes pour voi a partir de qd ça pose problème.
merci encore
les lignes :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
sont pour autoriser le traffic sur mon LAN qui est pour moi une zone de confiance.
j'accepte pour l'instant le traffic sortant, je ferai peut etre la modif tres bientot c'est a dire qd ça marchera. :)
parceque malgré ton coup de main, ça ne fonctionne toujours pas.
ce qui est qd même une histoire incroyable, les lignes que tu m'as soumises j'imagine que c'est une configuration qui fonctionne chez toi, c'est pas si different de ce que j'avais au départ, et ça ne marche toujours pas.
j'abandonne pour ce soir, mais dès demain, je vais faire ce que j'aurais du faire depuis qque temps c'est a dire un bon flush de toute les règles j'enlève iptables du groupe de démarrage, et qd je serais revenur a point de départ, c'est a dire, tout marche sans filtrage, et ben je repartirais du départ petit à petit en ajoutant les règles au compte goutes pour voi a partir de qd ça pose problème.
merci encore
les lignes :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
sont pour autoriser le traffic sur mon LAN qui est pour moi une zone de confiance.
--> ton iptables fait office de passerelle ? ou tes services sont sur la même machine ?
ton accès au net se fait via une box ? as tu mis ce serveur en zone DMZ ?
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
sont pour autoriser le traffic sur mon LAN qui est pour moi une zone de confiance.
--> ton iptables fait office de passerelle ? ou tes services sont sur la même machine ?
ton accès au net se fait via une box ? as tu mis ce serveur en zone DMZ ?
donc le script avec lequel j'ai créé mes règles :
#!/bin/sh
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 2244 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
j'ai executé le script, ensuite j'ai fais iptables -L et j'obtiens ça:
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-SSH tcp -- anywhere anywhere tcp dpt:22
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:22
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http-alt
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere 192.168.0.0/24
Chain fail2ban-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
et malgré les règles en ACCEPT impossible de me connecter sur les ports en question à savoir 21,22,80,8080
merci pour ton aide