Ubuntu-fr

hanakyn

configuration firewall iptables

bonjour,

voilà mon script de configuration de mon iptables, je ne comprend pas pourquoi rien ne marche !!!

#!/bin/sh

# script firewall.sh

############################
# hanakyn - le 23/11/2005                          #
############################

############ INITIALISATION ############

# blocage des attaques spoofing du traffic ICMP
# --> interdiction du ping

# pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

# pas de ICMP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# vidage de toutes les règles
iptables -F
iptables -X

# paramètres par defaut --> on bloque tout...eh ouais c'est un firewall, pas un moulin !
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# on accepte tout en local..sinon pas de rzo !!
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############ CONFIGURATION ############

# web
iptables -A INPUT  -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# messagerie
iptables -A INPUT  -i eth0 -p tcp --dport 25  -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

# https
iptables -A INPUT  -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

# configuration aMule
iptables -A INPUT -i eth0 -p tcp --dport 5013 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 5016 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 5003 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "[Configuration iptables terminée]"

arvin

Re : configuration firewall iptables

Tu peux comparer avec http://rob.pectol.com/ubuntu-firewall.txt qui fonctionne à merveille.
Si tu ne sais pas encore bien jouer avec iptables, tu as la possiblité d'utiliser le "script ubuntu-firewall" de Robert C. Pectol qui est disponible sur son site http://rob.pectol.com/content/view/14/29/
J'en parle ici :http://forum.ubuntu-fr.org/viewtopic.php?id=18582 .

---

Mon blog pour Linux: http://jujuseb.com

fredr

Re : configuration firewall iptables

Salut,

Je pense que dans tes lignes new established, tu devrais ajouter aussi le RELATED.

Et si tu pouvais expliquer pourquoi ca marche pas...

Fred

---

Fana du distro hopping, actuellement sur Ubuntu 24.04 avec Regolith Desktop Sway.
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

hanakyn

Re : configuration firewall iptables

j'ai essayé avec related mais ça marche pas non plus. le problème c'est que je ne peux plus sortir de la machine par internet.

fredr

Re : configuration firewall iptables

Salut, en regardant, je pense que l'erreur est dans tes regles input : -i eth0 -d port 80, ca veut dire eth0 en entree sur ton pc par ton port 80... Or le web ne te repond pas sur ton port 80. Modifie les 2 lignes en :

iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Une ligne suffira (idem pour le 443)

Idem en sortie tu n'a pas de sport (la source c'est ton pc vers le port 80 de l'autre) mais pas de ton port 80

---

Fana du distro hopping, actuellement sur Ubuntu 24.04 avec Regolith Desktop Sway.
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

hanakyn

Re : configuration firewall iptables

ouais, mais si je ne spécifie pas le port, j'ouvre tous les ports en entrée !! d'où l'intérêt du firewall...

fredr

Re : configuration firewall iptables

Oui et non, tous les ports input sont ouverts mais uniquement en established et related, pas en new d'ou ils ne peuvent etre ouverts de l'exterieur que si ton pc l'a demande en output

---

Fana du distro hopping, actuellement sur Ubuntu 24.04 avec Regolith Desktop Sway.
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

fredr

Re : configuration firewall iptables

Ici, tu as tu tuto bien fait http://christian.caleca.free.fr/securite/les_firewalls.htm
ce n'est pas parce que tu interroges un port 80 que la reponse arrive sur ton port 80. En fait elle arrive sur un port alleatoire d'ou, tu acceptes le port 80 en dport output et tu accceptes tous les ports en extablished related input

Dernière modification par fredr (Le 30/11/2005, à 21:30)

---

Fana du distro hopping, actuellement sur Ubuntu 24.04 avec Regolith Desktop Sway.
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

fredr

Re : configuration firewall iptables

Par exemples:

iptables -A OUTPUT  -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

---

Fana du distro hopping, actuellement sur Ubuntu 24.04 avec Regolith Desktop Sway.
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

hanakyn

Re : configuration firewall iptables

ok merci, je vais essayer