[Résolu][iptables & torrent] accepté output?

[Xav-G]

Bonjour tous le monde.

je cherche à partager des torrents, mais avec iptables si je ne fais pas :

Code : Tout sélectionner

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT

j’obtiens des lignes comme celle-ci dans mon DROP_LOG (et le partage s’arrête):

Code : Tout sélectionner

[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=220.239.234.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36314 DF PROTO=TCP SPT=44303 DPT=20189 WINDOW=29200 RES=0x00 SYN URGP=0 
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=91.79.194.176 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39478 DF PROTO=TCP SPT=48209 DPT=16350 WINDOW=29200 RES=0x00 SYN URGP=0 
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=192.40.95.26 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=50294 DF PROTO=TCP SPT=38135 DPT=3197 WINDOW=29200 RES=0x00 SYN URGP=0 
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=85.3.34.230 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=124 DF PROTO=TCP SPT=41571 DPT=65151 WINDOW=29200 RES=0x00 SYN URGP=0 

pour l'instant jutilise ces regles là pour Qbittorrent-nox

Code : Tout sélectionner

	# Qbittorrent-nox Out/In
iptables -t filter -A OUTPUT -p UDP --sport 8999 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 8999 -j ACCEPT

iptables -t filter -A INPUT -p TCP --dport 8080 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p UDP --dport 8999 -j ACCEPT

j'aimerais ne pas gardé "iptables -t filter -P OUTPUT ACCEPT" et mettre DROP mais je ne trouve pas la règle qui me permettra de laissé passer mon traffic torrent...

quelqu'un serais m'aider??

[benjarobin]

Bonjour,
Peut-on voir l'intégralité de ton script de configuration d'iptables, car ce que tu fais le semble un tout petit peu foireux...

De plus c'est quoi ton besoin ? Quels sont les flux que tu veux autoriser ?

Personnellement j'autorise toute nouvelle connexion sortante de mon PC, et en entrée ce qui va bien pour ssh, httpd, ....
Après certaines personnes préfèrent autoriser uniquement certains ports en sortie (dont les ports​ web, ...). Je te dis de suite que je n'en vois pas trop l'intérêt, car si c'est pour ce protèger de quelque chose de malveillant, ce dernier sortira sur des ports standard qui sont ouverts sinon le pc est inutilisable...

[Xav-G]

ce n'est pas que je préfère gérer se qui sort, mais en lisant ici et la, j'ai toujours vue qu'ils mettaient OUTPUT DROP pour la politique par défaut
je me suis beaucoup référer à : http://lea-linux.org/documentations/Iptables

Code : Tout sélectionner

	# --- Règles générales --- #
	# Interdire toute connexion entrante et sortante (par defaut)
	iptables -t filter -P INPUT DROP
	iptables -t filter -P FORWARD DROP
	iptables -t filter -P OUTPUT DROP

	# Ne pas casser les connexions etablies
	iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
	iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

	# Autoriser loopback
	iptables -t filter -A INPUT -i lo -j ACCEPT
	iptables -t filter -A OUTPUT -o lo -j ACCEPT



	# --- Règle de filtrage --- #
	# ICMP (Ping)
	iptables -t filter -A INPUT -p icmp -j ACCEPT
	iptables -t filter -A OUTPUT -p icmp -j ACCEPT

	# SSH Out
	iptables -t filter -A OUTPUT -p TCP --dport 39901 -j ACCEPT

	# DNS Out
	iptables -t filter -A OUTPUT -p UDP --dport 53 -j ACCEPT

	# DHCP Out
	iptables -t filter -A OUTPUT -p UDP --sport 68 -j ACCEPT
	
	# Samba
		# NetBios-NS
		iptables -A OUTPUT -p UDP --dport 137 -j ACCEPT
		iptables -A INPUT  -p UDP --sport 137 -j ACCEPT

		# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
		iptables -A OUTPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT
		iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT

		#NetBios-SSN => partage fichiers, imprimantes par Microsoft
		iptables -A OUTPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT
		iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT

		# SMB/IP => partage fichiers, imprimantes par SaMBa
		iptables -A OUTPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT
		iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT

	# NTP Out
	iptables -t filter -A OUTPUT -p UDP --dport 123 -j ACCEPT

	# HTTP + HTTPS Out
	iptables -t filter -A OUTPUT -p TCP --dport 80 -j ACCEPT
	iptables -t filter -A OUTPUT -p TCP --dport 443 -j ACCEPT

	# FTP Out/In
	iptables -t filter -A OUTPUT -p TCP --dport 20:21 -j ACCEPT
	iptables -t filter -A OUTPUT -p TCP --dport 34000:56000 -j ACCEPT
	iptables -t filter -A INPUT -p TCP --dport 34000:56000 -j ACCEPT

	# MYSQL
	iptables -t filter -A OUTPUT -p TCP --dport 3306 -j ACCEPT

	# Qbittorrent-nox Out/In
	iptables -t filter -A OUTPUT -p UDP --sport 8999 -j ACCEPT
	iptables -t filter -A OUTPUT -p TCP --dport 8999 -j ACCEPT

	iptables -t filter -A INPUT -p TCP --dport 8080 -j ACCEPT
	iptables -t filter -A INPUT -p TCP --dport 8999 -j ACCEPT
	iptables -t filter -A INPUT -p UDP --dport 8999 -j ACCEPT

tu pense qu'il est aussi efficace d'un point de vue sécurité de mettre:

Code : Tout sélectionner

iptables -t filter -P OUTPUT ACCEPT

et de ne pas s'embeter à identifier les ports 1 par 1?

[benjarobin]

Euh, je n'ai pas dis cela... Tu devrais relire mon message, il y a dedans "nouvelle connexion", je n'ai pas dis n'importe quoi en sortie
Je regarde ton script... Ouch... Autant ne pas en avoir c'est plus simple, pourquoi avoir ouvert 22000 ports en entrée ! Ce n'est pas comme cela qu'il faut faire pour une connexion FTP sortante, tu as le tracking de connexion via le module "state"...

Donc voici une version simplifiée et normalement bien plus sécurisée

Code : Tout sélectionner

# Suppression de toutes les chaines de la table FILTER
iptables -t filter -F
iptables -t filter -X

# Par défaut, tous les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# Autoriser loopback
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT  -i lo -j ACCEPT

# Autorise les connexions avec l'extérieur uniquement si elles sont initialisées par les processus locaux
iptables -A OUTPUT -p all -m conntrack ! --ctstate INVALID -j ACCEPT
iptables -A INPUT  -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# On autorise le ICMP (Ping) entrant
iptables -t filter -A INPUT -p icmp -j ACCEPT

# SSH entrant
#iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Samba
# NetBios-NS
iptables -A INPUT -p UDP --sport 137 -j ACCEPT

# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT

# NetBios-SSN => partage fichiers, imprimantes par Microsoft
iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT

# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT

# Torrent
iptables -t filter -A INPUT -p tcp --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8999 -j ACCEPT

Pour ce qui est de Samba, il faudra tester, normalement j'ai rien cassé par rapport à ta configuration, je l'ai juste simplifiée. Je ne sais pas si c'est 100% correct...
Pour ta section torrent pourquoi il y avait le port 8080 ? Personnellement je n'ai qu'un port TCP (pas d'UDP) ouvert en entré

[Xav-G]

le port 8080 est utilisé pour la connexion via http au server qbittorrent

pour le reste je vais avoir besoin de me documenter et de tester parce que ça ne me parle pas tout.. :p
je te remercie et je revien demain

--- edit ---
bon finalement j'ai quand même testé. (pas a 100%)
j'ai décommandé l'entrée du port 22
et j'ai rajouté l'entrée du port 3306 pour MySQL
et ça fonctionne. Mtn il me reste a comprendre se que tu a fais.

[kazman]

Bonsoir,

Je me permet de revenir sur ce sujet juste pour remercier benjarobin.

Pour ma part d'une grande aide pour la configuration iptables !