IPTABLES ne fonctionne plus

phiibuntu · Le 05/06/2017, à 14:34

Bonjour a tous.

Je rencontre un problème de parefeu sur mon serveur, et j'avais jamais vu ça...

juqu'ici la commande sudo iptables -L me renvoyait les différentes règles de sécurité que j'avais sur un fichier /etc/init.d/firewall

désormais le sudo iptables -L me renvoie :

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:webmin
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http-alt
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp

le fichier /etc/init.d/firewall

# Bloque tout le trafic
sudo iptables -t filter -P INPUT DROP
sudo iptables -t filter -P FORWARD DROP
sudo iptables -t filter -P OUTPUT DROP

# Autorise les connexions déjà établies et localhost
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t filter -A INPUT -i lo -j ACCEPT
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# SSH
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# HTTPS
sudo iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

ce qui est beaucoup plus génant. J'ai redémarré mon firewall.
j'ai passé des commande à la main :
j'ai rebooté (en desespoir de cause) rien n'y fait.
si une bonne âme a une idée je suis preneur
c'est plutot moyen un serveur sans parefeu...

Dernière modification par phiibuntu (Le 05/06/2017, à 14:36)

jamesbad000 · Le 05/06/2017, à 16:53

Bonjour.

Il me semble pas qu'il suffise de poser un script quelconque dans init.d pour que celui soit exécuté.
De mémoire: le contenu du script doit répondre à certaines conventions. Et il doit être enregistré en tant que service avec la commande update-rc.d

Voir ici https://doc.ubuntu-fr.org/services
(a priori init.d est relatif a des script system V)

Barnabé2 · Le 05/06/2017, à 19:37

Salut,

ICMP il en manque la moitié, ça ne peut pas bien marcher de toute façon.

phiibuntu · Le 05/06/2017, à 19:38

merci pour la réponse.
Je me suis mal exprimé, ce script fonctionne depuis des mois parfaitement (donc ce n'est pas un script fait au hasard).

ce sont cesdeux lignes me posent soucis avec la commande sudo iptables -L :
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

car seul les ports autorisés sont sensés être en ACCEPT.
en effet ces deux lignes en premier autorise tout semble-t-il donc les règles ensuite ne serve plus à rien

voilà pourquoi je suis un peu en stress.

LanXor · Le 06/06/2017, à 19:06

Bonjour peut-tu tester la commande suivante :

sudo iptables -L -v -n

Cela va t'afficher clairement les différentes règles (plus précise) (ce qui peut-être pourras nous aider à identifier le problème)

LanXor · Le 06/06/2017, à 19:15

De plus pour t'apprendre plus de chose je te conseil de regarder ces règles iptables

# On défini le type de table
*filter

# On drop tous
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP

# On accepte la boucle local
-A INPUT -i lo -j ACCEPT

# On accepte la découverte de réseaux (le ping entre-autre, mais pas que...)
-A INPUT -p icmp -j ACCEPT

# On autorise toutes les requêtes déjà établie, cela permet de répondre à une requête venue de l'extérieur
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Tu connais
-A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A INPUT -p tcp -m tcp --dport http -j ACCEPT
-A INPUT -p tcp -m tcp --dport https -j ACCEPT

# De même
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

# Ici c'est le même genre que en INPUT, sauf que ce sont les requêtes établie en interne
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

C'est un script qui peut être charger par iptable-apply. Tu n'est pas obliger de l'utiliser mais c'est juste pour avoir la structure des règles.

Le principe est que tu va tout refusé, et autoriser seulement en INPUT, avec les deux règles bizarre tu va contrôler automatiquement les sorties autorisé ou non.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 05/06/2017, à 14:34

IPTABLES ne fonctionne plus

#2 Le 05/06/2017, à 16:53

Re : IPTABLES ne fonctionne plus

#3 Le 05/06/2017, à 19:37

Re : IPTABLES ne fonctionne plus

#4 Le 05/06/2017, à 19:38

Re : IPTABLES ne fonctionne plus

#5 Le 06/06/2017, à 19:06

Re : IPTABLES ne fonctionne plus

#6 Le 06/06/2017, à 19:15

Re : IPTABLES ne fonctionne plus

Pied de page des forums