Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 29/07/2005, à 12:36

santino

[resolu]encore un pb avec iptables

salut a tous,
voila, j'install iptables sur mon pc pour proteger mes serveurs (ssh, ftp, web et un serveur de jeu) et j'ai utiliser le script suivant:

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
# iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
# iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
# iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CUPS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connecter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecter
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

$EXTINF = eth0
$INTINF = eth0
$IPT = /sbin/iptables
$IPT -A INPUT -i $EXTINF-p udp --dport 1200 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp --sport 1200 -j ACCEPT
$IPT -A INPUT -i $EXTINF -p udp --dport 27000:27015 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp 27000:27015 -j ACCEPT

$IPT -A OUTPUT -p tcp --sport 27030:27039 -j ACCEPT
$IPT -A INPUT -p tcp --dport 27030:27039 -j ACCEPT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"

donc je n'ai pas autoriser le ping ni le protocole igmp et par contre j'ai autoriser le port 80 pour le web, le port 21 pour le ftp et sa avait l'air de marche mais quand je fesait iptables -L dans la console; je voyais que tout le spaquet passaient par le reseau local?? je suis directement connecter a une freebox en ethernet? donc mon modem routeru est-il considere comme un reseau local?
puisque j'en ai pas je me sui dit si je l'enlevais? et la plus rien de jouignable?

sinon j'ai un serveur dedie de jeu sur le port 27015 et j'ai trouver un script tout fait icihttp://www.alphacore.net/spip/article.p … article=63 mais le script ne resemble pas au reste et le serveur n'est pas joignable??? voici la partie relative a ce serveur:

$EXTINF = eth0
$INTINF = eth0
$IPT = /sbin/iptables
$IPT -A INPUT -i $EXTINF-p udp --dport 1200 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp --sport 1200 -j ACCEPT
$IPT -A INPUT -i $EXTINF -p udp --dport 27000:27015 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp 27000:27015 -j ACCEPT

$IPT -A OUTPUT -p tcp --sport 27030:27039 -j ACCEPT
$IPT -A INPUT -p tcp --dport 27030:27039 -j ACCEPT

merci de m'aider un peu, je galere la et je veux pas me faire depouiller le serveur lol:P

Dernière modification par santino (Le 01/08/2005, à 16:39)

Hors ligne

#2 Le 29/07/2005, à 18:36

santino

Re : [resolu]encore un pb avec iptables

personne n'a d'idee??:P:P:P please je galere la

Hors ligne

#3 Le 31/07/2005, à 16:53

moaj

Re : [resolu]encore un pb avec iptables

aïe aïe aïe : v'là une bonne adresse sur laquelle va falloir passer qques heures : http://lea-linux.org/reseau/secu/iptables.html parce que là, c'est pas parti pour être gagné... bon courage !!!

Hors ligne

#4 Le 01/08/2005, à 16:39

santino

Re : [resolu]encore un pb avec iptables

merci moaj , c'est bon j'ai reussi, sa n'a pas ete simple, j'ai du reecrire le script iptables pour les serveurs et charger le module de contrack et un bonheur sa marche impec

Hors ligne

Pages : 1