Re: config de iptables
Le 12913ième jour après Epoch, david hannequin écrivait: > Bonjour, > > OS debian Woody > J'ai mis les régles d'iptables comme ci-dessous : > > LAN=192.168.0.0/24 > # Suppression de toutes les régles > iptables -F > iptables -X > > # Politique par défaut RIEN NE PASSE > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > # Pour accepter tout ce qui se passe sur l'interface lo > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > # Pour accepter tout ce qui passe sur le réseau local > iptables -A INPUT -s $LAN -j ACCEPT > iptables -A OUTPUT -d $LAN -j ACCEPT > iptables -A FORWARD -s $LAN -j ACCEPT > > # Pour accepter le dns > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > iptables -A INPUT -p udp --sport 53 -j ACCEPT > > # Pour le serveur Web > iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > > # Pour le serveur ssh > iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > > > Mais quand j'essaye de faire apt-get update il n'arrive pas à > télécharger les mises à jour. Normal. Rien n'autorise quoi que ce soit à sortir spontanément. Quelques remarques: 1) Tu acceptes tout ce qui viens du réseau local? C'est pas un peu dangereux ça? En général, c'est par là que ça passe. D'autant plus que ta directive INPUT ne tiens pas compte de l'interface qui reçoit les paquets "locaux". 2) Le DNS passe aussi par TCP des fois 3) Tu devrais utiliser des choses comme RELATED, ESTABLISHED, etc.. pour qualifier les paquets. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: config de iptables
Salut, david hannequin a écrit : OS debian Woody Tiens, je ne suis donc pas le dernier irréductible à ne pas encore être passé en Sarge. ;-) J'ai mis les régles d'iptables comme ci-dessous : [Voix qui résonne dans ta tête] "Utilise le suivi de connexion, Luke." Le suivi de connexion c'est bon, mangez-en. Et en plus ça simplifie vachement la vie, je vous jure. Mais quand j'essaye de faire apt-get update il n'arrive pas à télécharger les mises à jour. Qu'est qui est mal écrit ou manque dans mes régles (ca marche sans iptables) ? Et si tu commençais par le commencement en précisant le contexte ? Ces règles sont-elles sur la machine qui essaie de faire un apt-get ou une passerelle située en amont ? A-t-elle une ou plusieurs interfaces réseau actives en dehors de lo, de quel type et vers quoi ? Quelles sont les activités réseau prévues en entrée et en sortie ? Où sont situés les miroirs Debian configurés dans /etc/apt/sources.list ? De quels types sont-ils, HTTP ou FTP ? Je crois comprendre ce qui suit sur la machine qui a ces règles : - elle appartient à un réseau local 192.168.0.0/24 - elle accepte et retransmet tout le trafic venant de ce réseau - elle peut émettre tout type de trafic vers ce réseau - elle peut émettre des requêtes DNS - elle héberge un serveur web et un serveur SSH. Mais : - elle ne peut émettre de requête vers des serveurs situés en dehors du réseau local, ni en recevoir les réponses - elle ne peut retransmettre les réponses aux requêtes qu'elles a laissé passer. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: config de iptables
Le Tue May 10 2005 à 09:08:51PM +0200, david hannequin dit : > Bonjour, > > OS debian Woody > J'ai mis les régles d'iptables comme ci-dessous : > > LAN=192.168.0.0/24 un peu large non ? [...] > Mais quand j'essaye de faire apt-get update il n'arrive pas à > télécharger les mises à jour. Tu prends des sources http ou ftp ? > Qu'est qui est mal écrit ou manque dans mes régles (ca marche sans > iptables) ? Tu as juste une machine derrière un routeur/modem ? > Merci d'avance > David Hannequin Bop. -- David Dumortier [EMAIL PROTECTED] -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
config de iptables
Bonjour, OS debian Woody J'ai mis les régles d'iptables comme ci-dessous : LAN=192.168.0.0/24 # Suppression de toutes les régles iptables -F iptables -X # Politique par défaut RIEN NE PASSE iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Pour accepter tout ce qui se passe sur l'interface lo iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Pour accepter tout ce qui passe sur le réseau local iptables -A INPUT -s $LAN -j ACCEPT iptables -A OUTPUT -d $LAN -j ACCEPT iptables -A FORWARD -s $LAN -j ACCEPT # Pour accepter le dns iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT # Pour le serveur Web iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Pour le serveur ssh iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT Mais quand j'essaye de faire apt-get update il n'arrive pas à télécharger les mises à jour. Qu'est qui est mal écrit ou manque dans mes régles (ca marche sans iptables) ? Merci d'avance David Hannequin -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Config de iptables
> >... > >iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > >iptables -A OUTPUT -o ppp0 --protocol udp --source-port 53 -j ACCEPT > > pour l'output, le port 53 est la destination et non la source > > >iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > >iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 53 -j ACCEPT > > idem ici > > >... bien vu :-) merci merci merci merci a tous Sebbb
Re: Config de iptables
Sébastien wrote: >Salut tout le monde... > >Voila j'essaye de configurer un pare-feu sur ma machine : > >je lance mon script, et konqueror me dis : > >Un problème est survenu lors du chargement de >http://java.sun.com/j2se/1.4.1/docs/api/allclasses-frame.html : > >Hôte java.sun.com inconnu > >Ce qui a mon avis signifit que c'est la résolution DNS qui ne fonctionne >pas... Peut-etre est-ce que je me trompe ??? > >Mais voici quelques lignes du fichier : > >... >iptables -P INPUT DROP >iptables -P FORWARD DROP >iptables -P OUTPUT DROP >... >iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT >iptables -A OUTPUT -o ppp0 --protocol udp --source-port 53 -j ACCEPT > > pour l'output, le port 53 est la destination et non la source >iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT >iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 53 -j ACCEPT > > idem ici >... >iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state >ESTABLISHED -j ACCEPT >iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state >--state NEW,ESTABLISHED -j ACCEPT >... > >merci pour l'aide que vous pourrez m'apporter... > > de rien >Sebbb > > > stéphane
Config de iptables
Salut tout le monde... Voila j'essaye de configurer un pare-feu sur ma machine : je lance mon script, et konqueror me dis : Un problème est survenu lors du chargement de http://java.sun.com/j2se/1.4.1/docs/api/allclasses-frame.html : Hôte java.sun.com inconnu Ce qui a mon avis signifit que c'est la résolution DNS qui ne fonctionne pas... Peut-etre est-ce que je me trompe ??? Mais voici quelques lignes du fichier : ... iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ... iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 53 -j ACCEPT ... iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT ... merci pour l'aide que vous pourrez m'apporter... Sebbb