[Iptables] Affichage des règles long

Applications, problèmes de configuration réseau
Harashi
archer
Messages : 110
Inscription : mar. 08 août 2017, 15:50
Localisation : Paris

[Iptables] Affichage des règles long

Message par Harashi »

Bonjour tout le monde,

Alors voilà, j'ai un problème certes assez mineur mais un brin crispant : lorsque je tente d'afficher mes règles iptables via un

Code : Tout sélectionner

sudo iptables -L
elles ne s'affichent pas d'un seul tenant (comme sur mes autres distributions) mais par blocs avec des temps d'attentes avoisinant les dix secondes. Par exemple j'ai cet affichage :

Code : Tout sélectionner

sudo iptables -L
[sudo] Mot de passe de Harashi : 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain ctstate RELATED,ESTABLISHED
Suivi de dix secondes d'attente, puis chargement d'une grosse partie du reste :

Code : Tout sélectionner

ACCEPT     icmp --  192.168.0.0/24       anywhere            
ACCEPT     tcp  --  192.168.1.3          anywhere             tcp spt:ssh ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport sports http,https,irdmi ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport sports smtp,imap,imap3,urd,submission,imaps ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport sports xmpp-client,hpvirtgrp,xmpp-server,presence,8010 ctstate RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             udp spt:presence ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain ctstate NEW,RELATED,ESTABLISHED
De nouveau dix secondes, ensuite deux lignes de plus :

Code : Tout sélectionner

ACCEPT     icmp --  anywhere             192.168.0.0/24      
ACCEPT     tcp  --  anywhere             192.168.1.3          tcp dpt:ssh ctstate NEW,RELATED,ESTABLISHED
Ensuite un temps un peu moins long (4 ou 5 secondes), avec la fin des règles :

Code : Tout sélectionner

ACCEPT     tcp  --  anywhere             anywhere             multiport dports http,https,irdmi ctstate NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports smtp,imap,imap3,urd,submission,imaps ctstate NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports xmpp-client,hpvirtgrp,xmpp-server,presence,8010 ctstate NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             udp dpt:presence ctstate NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere  
Or, je me demande à quoi cela est dû. Si quelqu'un avait une réponse je lui en serait reconnaissant car même si ce n'est pas très gênant ça reste tout de même un peu long pour un simple affichage.
Asus RoG GL552JX-DM322T : Double amorçage Windows 10 / Archlinux
Dell-Latitude D430 : Debian Buster
Avatar de l’utilisateur
RoyalPanda
yeomen
Messages : 208
Inscription : lun. 19 mai 2014, 09:08

Re: [Iptables] Affichage des règles long

Message par RoyalPanda »

Bonjour,

Pour la lenteur, as-tu essayé l'option -n ? Car c'est peut-être la résolution des noms qui est longue.
Deuxième chose, pourquoi as-tu ( policy DROP ) avec à la fin : ACCEPT all -- anywhere anywhere ? (INPUT et OUTPUT)
Harashi
archer
Messages : 110
Inscription : mar. 08 août 2017, 15:50
Localisation : Paris

Re: [Iptables] Affichage des règles long

Message par Harashi »

L'option -n ne donne rien, mais de toute façon sous Debian et Ubuntu la table s'affiche d'un seul coup avec un simple

Code : Tout sélectionner

sudo iptables -L
La résolution des noms n'est pas plus longue sous Arch, si ?
RoyalPanda a écrit :Deuxième chose, pourquoi as-tu ( policy DROP ) avec à la fin : ACCEPT all -- anywhere anywhere ? (INPUT et OUTPUT)
En fait il s'agit de la boucle locale, même si je n'ai jamais bien compris pourquoi elle s'affichait comme ça.
Asus RoG GL552JX-DM322T : Double amorçage Windows 10 / Archlinux
Dell-Latitude D430 : Debian Buster
benjarobin
Maître du Kyudo
Messages : 16008
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [Iptables] Affichage des règles long

Message par benjarobin »

Il est préférable d'utiliser iptables-save pour y voir plus clair...
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)
Harashi
archer
Messages : 110
Inscription : mar. 08 août 2017, 15:50
Localisation : Paris

Re: [Iptables] Affichage des règles long

Message par Harashi »

benjarobin a écrit :
mar. 05 sept. 2017, 19:31
Il est préférable d'utiliser iptables-save pour y voir plus clair...
C'est-à-dire ? J'utilise déjà iptables-save pour sauvegarder mes règles dans /etc/iptables/iptables.rules, mais comment puis-je "y voir plus clair" grâce à cela ?
Asus RoG GL552JX-DM322T : Double amorçage Windows 10 / Archlinux
Dell-Latitude D430 : Debian Buster
benjarobin
Maître du Kyudo
Messages : 16008
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [Iptables] Affichage des règles long

Message par benjarobin »

La sortie de iptables-save est plus clair que la sortie de iptables -L
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)
Avatar de l’utilisateur
RoyalPanda
yeomen
Messages : 208
Inscription : lun. 19 mai 2014, 09:08

Re: [Iptables] Affichage des règles long

Message par RoyalPanda »

Harashi a écrit :
mar. 05 sept. 2017, 16:58
L'option -n ne donne rien, mais de toute façon sous Debian et Ubuntu la table s'affiche d'un seul coup avec un simple

Code : Tout sélectionner

sudo iptables -L
La résolution des noms n'est pas plus longue sous Arch, si ?
En soi, non. Mais cela aurait pu indiquer une mauvaise configuration de résolution de noms.
Harashi a écrit :
mar. 05 sept. 2017, 16:58
RoyalPanda a écrit :Deuxième chose, pourquoi as-tu ( policy DROP ) avec à la fin : ACCEPT all -- anywhere anywhere ? (INPUT et OUTPUT)
En fait il s'agit de la boucle locale, même si je n'ai jamais bien compris pourquoi elle s'affichait comme ça.
En effet, j'ai tellement l'habitude de mon iptables -vnL que je ne connais pas l'affichage sans.
Je t'invite d'ailleurs à tester -vnL, afin de bien vérifier tes règles. Parce que j'en reviens à ma résolution de nom. Le temps d'affichage long est avant l'affichage d'une IP dans tes règles.
Je parie que c'est une requête DNS qui n'est pas résolue. Tu peux le vérifier avec un wireshark.

Sinon, la résolution DNS fonctionne normalement ? un wget http://google.fr aboutit ?
Harashi
archer
Messages : 110
Inscription : mar. 08 août 2017, 15:50
Localisation : Paris

Re: [Iptables] Affichage des règles long

Message par Harashi »

En effet, la sortie de iptables-save -L est plus claire et surtout elle est immédiate, il n'y a pas de temps d'attente. Étrangement c'est aussi le cas pour iptables -vnL qui est instantané et renvoi ceci :

Code : Tout sélectionner

sudo iptables -vnL
Chain INPUT (policy DROP 185 packets, 26923 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  453 60211 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       192.168.0.0/24       0.0.0.0/0           
    0     0 ACCEPT     tcp  --  eth0   *       192.168.1.3          0.0.0.0/0            tcp spt:22 ctstate RELATED,ESTABLISHED
30775   74M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED
  395  418K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 25,143,220,465,587,993 ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 5222,5223,5269,5298,8010 ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:5298 ctstate RELATED,ESTABLISHED
   78  5756 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 189 packets, 35967 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  485 31636 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            192.168.0.0/24      
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            192.168.1.3          tcp dpt:22 ctstate NEW,RELATED,ESTABLISHED
18590 1567K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
  436 64259 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,143,220,465,587,993 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 5222,5223,5269,5298,8010 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5298 ctstate NEW,RELATED,ESTABLISHED
   46  3676 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0 
A priori la résolution DNS fonctionne bien, si j'en crois le retour de cette commande :

Code : Tout sélectionner

wget http://google.fr
--2017-09-08 13:01:32--  http://google.fr/
Résolution de google.fr… 216.58.204.131, 2a00:1450:4007:812::2003
Connexion à google.fr|216.58.204.131|:80… connecté.
requête HTTP transmise, en attente de la réponse… 301 Moved Permanently
Emplacement : http://www.google.fr/ [suivant]
--2017-09-08 13:01:32--  http://www.google.fr/
Résolution de www.google.fr… 216.58.212.131, 2a00:1450:400e:803::2003
Connexion à www.google.fr|216.58.212.131|:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : non indiqué [text/html]
Sauvegarde en : « index.html »

index.html              [ <=>                ]  10,49K  --.-KB/s    ds 0s      

2017-09-08 13:01:32 (203 MB/s) - « index.html » sauvegardé [10740]
Asus RoG GL552JX-DM322T : Double amorçage Windows 10 / Archlinux
Dell-Latitude D430 : Debian Buster
Répondre