PDA

Afficher la version complète : problème iptables



bibi
26/02/2006, 18h39
Bonjour,

je viens de créer un script de configuration de iptables, je l'ai ajouté a etc/init.d et je l'ai activé dans Yast->systeme-editeur de niveau dexecution->2,3,5 et au redemarrage, je suis arrivé en mode console au lieu de mon KDE habituel. Pourriez-vous m'aider? De plus, je n'arrive pas à recevoir mes mails de mon compte gmail à partir de Thunderbird alors que j'arrive à les envoyer. Merci d'avance pour l'aide.
Je vous donne mon script:

#!/bin/sh
#On refuse tout(-P: politique par défaut, DROP on refuse)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#On accepte le reseau LO qui est le reseau interne a la machine localhot
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#On accepte le http et le https(
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
#On accepte le dns
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT
#On accepte les ports bittorents
iptables -A INPUT -i eth0 -p tcp --sport 6881 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 4444 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 6881 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 4444 -j ACCEPT
#On accepte le reseau loca
iptables -A INPUT -i eth0 -s 192.168.0.11/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.11/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.11/24 -j ACCEPT
#Port pour la messagerie gmail
#pop
iptables -A INPUT -i eth0 -p tcp --sport 995 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 995 -j ACCEPT
#smtp
iptables -A INPUT -i eth0 -p tcp --sport 587 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 587 -j ACCEPT
# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les process locaux
iptables -t filter -A OUTPUT -o eth1 -s 10.0.0.1 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 0.0.0.0/0 -d 10.0.0.1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

offworld
26/02/2006, 19h11
Ta trouvé ton script sur piratemoi.com ?
Non serieusement, utilise suse firewall, et apprend par la suite a utiliser iptables.
Je ne vais pas te refaire ton scripts voir te le faire tous cours.
Juste au passage, je ne vois pas comment un paquet pourrais avoir un status related ou autre sans charger conntrack, puis je ne vois pas pourquoi tu ouvre ton port 80,443, etc, puis pourquoi tu prend une adresse de classe A sur eth1, et plein d'autre detail.
Bref gros bordel, je te conseil vivement suse firewall, et si tu ne veux pas suivre mon conseil, ne te plein pas de te faire hacker.

bibi
26/02/2006, 19h47
Merci ça a le mérite d'être clair. Mais bon je desespere pas http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif. Je vais continuer dans mes recherches.... En attendant je remets le suzefirewall.

offworld
26/02/2006, 20h15
C'est le bon choix, commence par là : http://olivieraj.free.fr/fr/linux/information/firewall/

bibi
26/02/2006, 20h32
Est-ce-que quelqu'un aurait une adresse ou je pourrais discuter de la mise en place d'un script pour iptable. Je me renseigne (http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/abouttheauthor.html) et autre tutorial mais bon c'eszt asez dur à comprendre sans explication. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif

bibi
26/02/2006, 21h39
Merci pour le lien. J'avais tiré mon script de ce qu'il propose mais bon apparement ça n'a pas été très efficace http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif . Je ne comprends pas d'ailleurs pourquoi je ne dois pas ouvrir les ports 80 et autres. Pour la fin, je pense avoir corrigé le script en chargeant conntrack. Enfin il me reste à aller à une install party pour pouvoir discuter de tout cela avec des personnes qualifiées.
Sinon, mon thunderbird ne marche toujours pas alors que j'ai bien ouvert le port 995 dans susefirewall comme on me le demande pour mon compte gmail. Il m'indique qu'il n'arrive pas à se connecter au serveur pop.gmail.com. Je séche complètement
Merci pour tes réponses offworld

offworld
26/02/2006, 23h26
Meme avec suse firewall n'ouvre pas tes ports, sauf pour les serveurs.
C'est ou que tu as récupéré c'est bout de script?

bibi
27/02/2006, 13h05
OK. Merci bien. Je l'ai recupéré à partir d'ici: http://olivieraj.free.fr/fr/linux/informat...l.html#fw-03-01 (http://olivieraj.free.fr/fr/linux/information/firewall/firewall.html#fw-03-01) en faisant un mix de ce que j'avais compris http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif .
Enfin bon mon pop ne marche toujours pas. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif
Et j'ai un nouveau problème maintenant. Je n'arrive à me connecter à mes partages windows via smb que lorsque mon firewall est désactivé. J'ai suivi ce tutoriel pour cela http://www.tweakhound.com/linux/samba/page_5.htm mais rien n'y fait. Mais ça m'a quand même permis de connaitre éditeur de fichier de config dans YAST.
D'ailleurs voici mon FW_SERVICE_EXT_TCP: domain epmap microsoft-ds netbios-dgm netbios-ns netbios-ssn smtp pop
et mon FW_SERVICE_EXT_UDP:domain ipsec-nat-t isakmp netbios-dgm netbios-ns
Si tu penses qu'il y a une erreur, n'hésite pas http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cool.gif

bibi
28/02/2006, 16h13
J'avance à petit pas. J'ai donc tout repris à zéro et la plus part de mes applications web marchent. Il me reste un probleme avec mon mail. Je n'arrive pas à me connecter à mon compte gmail quelque soit le soft utilisé et même lorsque mon firewall est désactivé. Avec fetchmail, cela me donne :
fetchmail: 6.2.5.2 interroge gmail.com (protocole POP3) à mar 28 fév 2006 15:17:21 CET : récupération en cours
fetchmail: délai dépassé après 300 secondes d'attente d'une connexion avec le serveur gmail.com.
fetchmail: erreur socket durant la réception de gmail.com
fetchmail: 6.2.5.2 interroge gmail.com (protocole POP3) à mar 28 fév 2006 15:22:21 CET : interrogation finie
fetchmail: État de la requête=2 (SOCKET)
fetchmail: 6.2.5.2 interroge gmail.com (protocole POP3) à mar 28 fév 2006 15:22:21 CET : récupération en cours
fetchmail: délai dépassé après 300 secondes d'attente d'une connexion avec le serveur gmail.com.
fetchmail: erreur socket durant la réception de gmail.com
fetchmail: 6.2.5.2 interroge gmail.com (protocole POP3) à mar 28 fév 2006 15:27:21 CET : interrogation finie
fetchmail: État de la requête=2 (SOCKET)
fetchmail: terminaison normale, état 2
Je n'arrive tjrs pas aussi a me connecter a mes postes ss windows avec le firewall activé avec samba. (sans cela marche).
Je vais y arriver niarkniark http://www.alionet.org/style_emoticons/<#EMO_DIR#>/mad.gif

offworld
28/02/2006, 16h53
C'est peut etre simplemant un probleme de gmail.

bibi
28/02/2006, 17h12
J'y arrive sous windows... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/unsure.gif

bibi
01/03/2006, 15h02
Je viens de trouver le problème pour gmail. Il faut cocher la case: utiliser les canneaux de communication pour accélérer les téléchargement http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif .

offworld
01/03/2006, 17h39
Quelque lien interressants :

http://christian.caleca.free.fr/
http://www.netfilter.org/documentation/index.html

bibi
01/03/2006, 20h59
Merci.