Page 1 sur 1
[Résolu][iptables & torrent] accepté output?
Publié : lun. 08 mai 2017, 19:46
par Xav-G
Bonjour tous le monde.
je cherche à partager des torrents, mais avec iptables si je ne fais pas :
Code : Tout sélectionner
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
j’obtiens des lignes comme celle-ci dans mon DROP_LOG (et le partage s’arrête):
Code : Tout sélectionner
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=220.239.234.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36314 DF PROTO=TCP SPT=44303 DPT=20189 WINDOW=29200 RES=0x00 SYN URGP=0
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=91.79.194.176 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39478 DF PROTO=TCP SPT=48209 DPT=16350 WINDOW=29200 RES=0x00 SYN URGP=0
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=192.40.95.26 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=50294 DF PROTO=TCP SPT=38135 DPT=3197 WINDOW=29200 RES=0x00 SYN URGP=0
[LOG] : IN= OUT=enp9s0 SRC=192.168.0.50 DST=85.3.34.230 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=124 DF PROTO=TCP SPT=41571 DPT=65151 WINDOW=29200 RES=0x00 SYN URGP=0
pour l'instant jutilise ces regles là pour Qbittorrent-nox
Code : Tout sélectionner
# Qbittorrent-nox Out/In
iptables -t filter -A OUTPUT -p UDP --sport 8999 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 8080 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p UDP --dport 8999 -j ACCEPT
j'aimerais ne pas gardé "iptables -t filter -P OUTPUT ACCEPT" et mettre DROP mais je ne trouve pas la règle qui me permettra de laissé passer mon traffic torrent...
quelqu'un serais m'aider??
Re: [iptables & torrent] accepté output?
Publié : lun. 08 mai 2017, 20:13
par benjarobin
Bonjour,
Peut-on voir l'intégralité de ton script de configuration d'iptables, car ce que tu fais le semble un tout petit peu foireux...
De plus c'est quoi ton besoin ? Quels sont les flux que tu veux autoriser ?
Personnellement j'autorise toute nouvelle connexion sortante de mon PC, et en entrée ce qui va bien pour ssh, httpd, ....
Après certaines personnes préfèrent autoriser uniquement certains ports en sortie (dont les ports web, ...). Je te dis de suite que je n'en vois pas trop l'intérêt, car si c'est pour ce protèger de quelque chose de malveillant, ce dernier sortira sur des ports standard qui sont ouverts sinon le pc est inutilisable...
Re: [iptables & torrent] accepté output?
Publié : lun. 08 mai 2017, 20:37
par Xav-G
ce n'est pas que je préfère gérer se qui sort, mais en lisant ici et la, j'ai toujours vue qu'ils mettaient OUTPUT DROP pour la politique par défaut
je me suis beaucoup référer à :
http://lea-linux.org/documentations/Iptables
Code : Tout sélectionner
# --- Règles générales --- #
# Interdire toute connexion entrante et sortante (par defaut)
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# --- Règle de filtrage --- #
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT -p TCP --dport 39901 -j ACCEPT
# DNS Out
iptables -t filter -A OUTPUT -p UDP --dport 53 -j ACCEPT
# DHCP Out
iptables -t filter -A OUTPUT -p UDP --sport 68 -j ACCEPT
# Samba
# NetBios-NS
iptables -A OUTPUT -p UDP --dport 137 -j ACCEPT
iptables -A INPUT -p UDP --sport 137 -j ACCEPT
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
iptables -A OUTPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT
#NetBios-SSN => partage fichiers, imprimantes par Microsoft
iptables -A OUTPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT
# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A OUTPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT
# NTP Out
iptables -t filter -A OUTPUT -p UDP --dport 123 -j ACCEPT
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p TCP --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 443 -j ACCEPT
# FTP Out/In
iptables -t filter -A OUTPUT -p TCP --dport 20:21 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 34000:56000 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 34000:56000 -j ACCEPT
# MYSQL
iptables -t filter -A OUTPUT -p TCP --dport 3306 -j ACCEPT
# Qbittorrent-nox Out/In
iptables -t filter -A OUTPUT -p UDP --sport 8999 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 8080 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p UDP --dport 8999 -j ACCEPT
tu pense qu'il est aussi efficace d'un point de vue sécurité de mettre:
et de ne pas s'embeter à identifier les ports 1 par 1?
Re: [iptables & torrent] accepté output?
Publié : lun. 08 mai 2017, 21:23
par benjarobin
Euh, je n'ai pas dis cela... Tu devrais relire mon message, il y a dedans "nouvelle connexion", je n'ai pas dis n'importe quoi en sortie
Je regarde ton script... Ouch... Autant ne pas en avoir c'est plus simple, pourquoi avoir ouvert 22000 ports en entrée !
Ce n'est pas comme cela qu'il faut faire pour une connexion FTP sortante, tu as le tracking de connexion via le module "state"...
Donc voici une version simplifiée et normalement bien plus sécurisée
Code : Tout sélectionner
# Suppression de toutes les chaines de la table FILTER
iptables -t filter -F
iptables -t filter -X
# Par défaut, tous les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Autoriser loopback
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
# Autorise les connexions avec l'extérieur uniquement si elles sont initialisées par les processus locaux
iptables -A OUTPUT -p all -m conntrack ! --ctstate INVALID -j ACCEPT
iptables -A INPUT -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# On autorise le ICMP (Ping) entrant
iptables -t filter -A INPUT -p icmp -j ACCEPT
# SSH entrant
#iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# Samba
# NetBios-NS
iptables -A INPUT -p UDP --sport 137 -j ACCEPT
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT
# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT
# Torrent
iptables -t filter -A INPUT -p tcp --dport 8999 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8999 -j ACCEPT
Pour ce qui est de Samba, il faudra tester, normalement j'ai rien cassé par rapport à ta configuration, je l'ai juste simplifiée. Je ne sais pas si c'est 100% correct...
Pour ta section torrent pourquoi il y avait le port 8080 ? Personnellement je n'ai qu'un port TCP (pas d'UDP) ouvert en entré
Re: [iptables & torrent] accepté output?
Publié : lun. 08 mai 2017, 22:10
par Xav-G
le port 8080 est utilisé pour la connexion via http au server qbittorrent
pour le reste je vais avoir besoin de me documenter et de tester parce que ça ne me parle pas tout.. :p
je te remercie et je revien demain
--- edit ---
bon finalement j'ai quand même testé.
(pas a 100%)
j'ai décommandé l'entrée du port 22
et j'ai rajouté l'entrée du port 3306 pour MySQL
et ça fonctionne. Mtn il me reste a comprendre se que tu a fais.
Re: [Résolu][iptables & torrent] accepté output?
Publié : jeu. 22 août 2019, 23:12
par kazman
Bonsoir,
Je me permet de revenir sur ce sujet juste pour remercier benjarobin.
Pour ma part d'une grande aide pour la configuration iptables !