Re: iptables autorisation DNS, SSH et ping
Tahar BEN ACHOUR a écrit : Alors voilà, mes deux cartes réseaux eth1 et eth2, eth2 étant l'interface publique qui va recevoir les requêtes DNS et ping et eth0 l'accès ssh #Politique par défaut deny all iptables -A INPUT -P DROP iptabels -A OUTPUT -P DROP iptables -A FORWARD -P DROP #Authorisation de SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures Qué coupures ? Cette règle, ainsi que la suivante, dites de suivi de connexion, servent à ne pas se préoccuper de la suite de la connexion une fois le premier paquet accepté. iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #authorisation du ping Pas de h en français. iptables -A INPUT -i eth1 -p icmp -j ACCEPT Trop laxiste, ça accepte tous les ICMP et pas seulement le ping (ICMP echo). Cf. la réponse de sleepewig. iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT Inutile, la règle de suivi de connexion s'en occupe déjà. #authorisation des requêtes DNS iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT Accepter aussi en TCP, cf. la réponse de Stéphane. iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT Cette règle accepte les requêtes DHCP sortantes, ce n'est pas ce qui été décrit plus haut. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c05268c.50...@plouf.fr.eu.org
Re: iptables autorisation DNS, SSH et ping
sleepewig a écrit : Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie : La règle de suivi de connexion en OUTPUT est déjà présente, pas besoin d'autre chose. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT Surtout pas, ça accepte n'importe quoi vers n'importe où du moment que c'est émis depuis le port 22 ! (d'accord pour utiliser ce port source il faut être root et si on est root on peut changer les règles, mais c'est pas une raison) # et ajouter pour les requete dns iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT Surtout pas : jamais de règles basées uniquement sur le port source pour accepter les réponses, ce n'est pas fiable. Utiliser plutôt le suivi de connexion. Si tu veux autorise que le ping : iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT Ça ce serait pour le ping en sortie (réponse entrante), ce qui n'est pas demandé. Inutile dans le cas contraire car la règle de suivi de connexion s'en occupe déjà. iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT Oui. iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT Inutile, la règle de suivi de connexion s'en occupe déjà. iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT Ça ce serait pour le ping en sortie, ce qui n'est pas demandé. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c0528a2.7090...@plouf.fr.eu.org
Re: iptables autorisation DNS, SSH et ping
Bonjour, Je repond a ta question sur -t filter, par defaut iptables est mise par defaut dessus donc cela change rien si tu le renseigne ou non, il faut le renseigner que si tu change de tables iptables --help --table-t tabletable to manipulate (default: `filter') Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie : iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # et ajouter pour les requete dns iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT Si tu veux autorise que le ping : iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT Et si tu selection par interface : -i pour la chaine INPUT -o pour OUTPUT. Voila esperant t'avoir aide. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c037ab3.4010...@gmail.com
Re: iptables autorisation DNS, SSH et ping
On Mon, May 31, 2010 at 08:14:52AM +, Tahar BEN ACHOUR tahar...@yahoo.fr wrote a message of 39 lines which said: #authorisation des requêtes DNS iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT Il manque aussi les mêmes, mais avec TCP. PS : utiliser un logiciel comme Shorewall http://www.bortzmeyer.org/filtrage-avec-shorewall.html simplifierait quand même les choses. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100531193022.ga6...@sources.org