[iptables] connexion bloquée, règles non respectées [résolu]

[djipey]

Bonsoir.

J'essaie désespérément de configurer iptables, en suivant ce tuto. Bon il est un peu vieux...

J'ai installé quelques règles basiques:

Code : Tout sélectionner

Chain INPUT (policy DROP 1 packets, 93 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   46  2596 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80
    0     0 ACCEPT     all  --  *      *       192.168.0.0/24       0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 12 packets, 1295 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   46  2596 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.0.0/24  

Ce sont des règles préconisées un peu partout, comme [ur=http://oldwiki.archlinux.fr/howto/securite/iptablesl]ici[/url]

Mais je n'arrive pas à comprendre pourquoi, avec ces règles là, je ne peux pas me connecter à une page web simple (http), au travers de firefox par exemple.

Pourriez-vous m'apporter vos conseils s'il vous plait ?

[drs]

j'ai pas mate tes liens donc juste un "tir a l'aveugle" mais tu bloquerais pas tes requetes DNS par hasard? si t'essaies d'ouvrir 209.85.175.103 est-ce que ca marche?

[djipey]

Ok alors pour les fainéant , voilà ce que j'ai rentré comme commandes:

Code : Tout sélectionner

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --source-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT

J'ai essayé d'ouvrir vers la destination que tu m'as donnée comme ceci :
iptables -A INPUT -s 209.85.175.103
iptables -A OUTPUT -s 209.85.175.103

Mais ça n'a rien changé.

Au passage, les règles que me sort firestarter sont bien différentes de ce que j'ai pu voir.

[drs]

quand je dis ouvrir, c'est ouvrir avec ton navigateur

edit/ pourquoi tu veux filtrer les paquets sortant, tu vas te prendre la tete. franchement un stateful firewall, c'est tout bete, tu te prends un peu la tete.

regarde la section personal firewall:
http://www.linuxfromscratch.org/blfs/vi ... ewall.html

[benjarobin]

@djipey Si tu lit correctement le TUTO il ne dit en aucun cas de faire ceci ! Il donne juste des exemples, il ne faut pas s’arrêter au milieu.
Il faut tout lire, hein
Sinon il a beau être vieux, il est toujours d'actualité (Certaines commandes sont à adapter) et de plus je le trouve assez bien expliqué.

@drs Le problème de ton lien c'est que l'explication est assez succincte...

[djipey]

Les commandes que j'ai citées plus haut, je les ai prises ici : http://oldwiki.archlinux.fr/howto/securite/iptables

Mais sinon, à la fin de cette page : http://olivieraj.free.fr/fr/linux/infor ... 03-06.html, je suis censé pouvoir accéder à internet non ? Parce qu'avec les règles préconisées sur ce dernier site (qui sont sensiblement les mêmes que celles que j'ai données plus haut), je ne peux accéder à aucune page.

qu'est ce que j'ai manqué @benjarobin ?

@drs

Ah ok, my bad...J'ai fait n'importe quoi. Pour répondre à ta question, quand j'essaie de "visiter" 209.85.175.103, ça marche je pense, j'ai google qui s'affiche. Mais pas les autres adresses, comme http://www.ubuntu-fr.org/.
Est-ce que tu pourrais m'expliquer pourquoi ça fait ça s'il te plait ?

[drs]

bah tu bloques tous tes paquets en sortie donc tes requetes DNS sont bloquees aussi. dns utilise le port 53 udp *ET* tcp.

franchement laisse tomber le filtrage en sortie tu vas t'arracher les cheveux... fais toi un stateful tout simple genre:

Code : Tout sélectionner

#!/bin/sh

# Insert connection-tracking modules
#modprobe ip_tables
#modprobe iptable_filter
#modprobe ip_conntrack
#modprobe ip_conntrack_ftp
#modprobe ipt_state
#modprobe ipt_LOG

# Set a known state
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

# Allow local-only connections
iptables -A INPUT  -i lo -j ACCEPT

# Free output on any interface to any ip for any service
iptables -A OUTPUT -j ACCEPT

# Permit answers on already established connections
# and permit new connections related to established ones
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

edit/ enfin si vraiment tu veux continuer dans cette voie, ca ca devrait regler le probleme:

Code : Tout sélectionner

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

[djipey]

Ok, ça semble plus sage en effet.

Mais tu mets:
iptables -P OUTPUT DROP

C'est pas ça justement le filtrage en sortie ? Je l'enlève ?

[drs]

Ok, ça semble plus sage en effet.

Mais tu mets:
iptables -P OUTPUT DROP

C'est pas ça justement le filtrage en sortie ? Je l'enlève ?

ca c'est juste pour etre sur de l'etat du firewall avant d'appliquer nos regles, regarde ce qu'il se passe apres:
iptables -A OUTPUT -j ACCEPT

[djipey]

Ok d'accord, merci à toi, je vais faire tout ça.

Encore 2-3 questions pour que je sois sûr.

Code : Tout sélectionner

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Je comprends les mots en anglais du commentaire mais je ne sais pas ce que ça fait réellement.
Est-ce que ça veut dire que j'autorise en input toutes les connections que je demande à établir ?

[drs]

imaginons que tu sois responsable du service courrier dans une entreprise. tu fais confiance a tes collegues, tu les laisses envoyer des courriers a qui ils veulent. par contre t'es mefiant sur le courrier entrant, du coup tu choisis de ne laisser entrer que les reponses aux lettres que tes collegues ont envoyees (ESTABLISHED). mais comme tu penses a tout, tu te dis qu'il est aussi preferable de laisser passer les reponses aux lettres meme si elles viennent d'un autre service que celui auquel la lettre de ton collegue etait adressee (RELATED).

[djipey]

Ok je comprends. Donc selon ce que tu dis, je n'accepte que les réponses aux requêtes que j'ai faites. Pas de requête qui entre spontanément, on est d'accord.

Juste une dernière question sur ESTABLISHED. "Combien de temps" est-ce que ces requêtes sont considérées comme établies ? Je veux dire, est-ce que ce sont toutes les connexions que j'ai demandées depuis l'installation de linux (j'exagère un peu), ou est-ce que ce sont seulement les requêtes de la session ?
Et aussi, est-ce que ça concernera les connections que je ferai à l'avenir, ou est-ce que je dois prendre established comme il est écrit, au participe passé ?

Merci en tout cas, je commence à y voir plus clair.

[drs]

lance wireshark et regarde ce qu'il se passe quand tu ouvres une page d'un site. on ne tient pas un journal de bord de ce qui a ete accepte dans le passe. le processus est effectue a chaque fois que tu demandes une information (cliquer un lien par exemple), tu dois obtenir une reponse.

[djipey]

Ok, merci à toi, je suis maintenant plus ou moins au point

Bonne journée à tous.