Archlinux.fr [Forums]

Forum d'entraide ! Posez vos questions ici
https://forums.archlinux.fr/

[iptables] problème de configuration (résolu)

https://forums.archlinux.fr/viewtopic.php?t=13864

Page 1 sur 1

[iptables] problème de configuration (résolu)

Publié : dim. 30 juin 2013, 19:03
par lekaf974
Salut,
J'ai récemment réinstallé un serveur et profité pour le passer de Ubuntu à Archlinux dont voici la configuration :

Code : Tout sélectionner

Interfaces : 
- (wifi) wlp6s1 : ip 192.168.1.253 (fixe)
- (lan) enp6s8 : ip 192.168.0.1 (fixe)
Services :
- lan : dhcpd, samba
- wifi : sshd
Dans le cadre d'un projet de création de site internet, j'ai installé mariadb, litghttpd et php pour les utiliser avec Wordpress et je profite pour sécuriser le serveur. Je souhaite mettre en place des règles iptables pour n'autoriser l'accès au SSH, WEB et MYSQL qu'à une seule IP (192.168.1.68) via le wifi et Samba au réseau 192.168.0.0/24 et la possibilité pour le serveur à faire des mises à jour.
Avec les règles actuelles j'obtiens les résultats suivant :

Code : Tout sélectionner

- serveur : connexion internet pour MAJ OK
- lan : connexion aux dossiers partagés pas OK
- wifi : ssh, web, mysql pas OK
La liste des règles que j'utilise :

Code : Tout sélectionner

# IPTABLES
IPT="/usr/bin/iptables"

# Network interface
IF_WAN="wlp6s1"
IF_LAN="enp6s8"
IF_LO="lo"

# Interface IP
IP_WAN="192.168.1.253"
IP_LAN="192.168.0.1"

# Admin IP
IP_ADMIN="192.168.1.68"

# Network
NET_LAN="192.168.0.0/24"
NET_WAN="192.168.1.0/24"
NET="0.0.0.0/0"

# Flush existing rules
$IPT -F
$IPT -X

# Drop all traffic by default
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Allow local interface traffic
$IPT -A INPUT -i $IF_LO -j ACCEPT
$IPT -A OUTPUT -o $IF_LO -j ACCEPT

# Allow existing connection
$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Allow ping in from LAN and WAN_ADMIN
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN \
			-p icmp --icmp-type 8 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $IF_WAN -s $IP_ADMIN -d $IP_WAN \
			-p icmp --icmp-type 8 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

# Allow ping out
$IPT -A OUTPUT -p icmp --icmp-type 8 -m conntrack \
			--ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
			
# Allow out ports domain, http(s), ftp for update
$IPT -A OUTPUT -o $IF_WAN -s $IP_WAN -d $NET -p tcp \
							-m multiport --dports 53,80,443,20,21 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $IF_WAN -s $IP_WAN -d $NET -p udp  --dport 53 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT	

# Allow Samba for LAN network only
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN -p tcp \
							-m multiport --dports 139,445 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $IF_LAN -s $NET_LAN -d $IP_LAN -p udp \
							-m multiport --dports 139,445 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
							
# Allow ssh and web service for admin wan #SSH on 3122
$IPT -A INPUT -i $IF_WAN -s $IP_ADMIN -d $IP_WAN -p tcp \
							-m multiport --dports 3122,80,443,3306 \
							-m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
Merci pour votre aide

Re: [iptables] problème de configuration

Publié : dim. 30 juin 2013, 22:46
par widapit
Salut !

apparement tu as créé des règles pour samba et ssh dans les INPUT mais tu n'as pas précisé d'OUTPUT pour ces protocoles ... :chinois:

Re: [iptables] problème de configuration

Publié : dim. 30 juin 2013, 23:11
par lekaf974
Merci widapit
J'ai tellement utilisé ufw dernièrement que j'avais oublié de rajouter les règles OUTPUT pour permettre le retour des demandes clients.
Fuseau horaire sur UTC+02:00
Page 1 sur 1

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru