<![CDATA[Forum Ubuntu-fr.org / iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?id=1065401 Sun, 21 Oct 2012 14:00:14 +0000 FluxBB <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11202541#p11202541 
sudo iptables {-A|--append|-I|--insert} {INPUT|OUTPUT|FORWARD} [-v|--verbose] [{-i|--in-interface|-o|--out-interface} {interface}] [{-p|--protocol} {tcp|udp|icmp}] [{-s|--source|-d|--destination} {address}] {-j|--jump} {ACCEPT|DROP|REJECT|RETURN}

Si tu demande un {append|insert} mais sans préciser si c'est dans la chaine INPUT,OUTPUT ou FORWARD c'est normal que tu reçoive cette réponse.

Ce qui est entre {  } est obligatoire
Ce qui est entre [  ] facultatif si tout est omis, si la première partie existe, la deuxième est obligatoire et vice versa.
exemple si la commande contient --protocol, il faut préciser tcp, udp ou icmp

Les 2 formes sont equivalentes
forme courte -j | forme longue --jump

]]> Sun, 21 Oct 2012 14:00:14 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11202541#p11202541 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11202071#p11202071 Même erreur avec un "j" a la place du "i"

]]> Sun, 21 Oct 2012 13:25:58 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11202071#p11202071 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11198611#p11198611 C'est pas un i(I) avant ACCEPT, c'est un j(J)

]]> Sun, 21 Oct 2012 09:28:39 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11198611#p11198611 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11198451#p11198451 Me revoila,
J'ai essayé de rentré les commande de mon script une par une jusqu’à avoir cette erreur: 

sudo iptables -A -i ACCEPT
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.

Ensuite j'ai poursuivi sans rencontrer de problème, je ne me suis occupé seulement des INPUT.

Seulement voila, suite aux commandes, plus aucune connections possible.
Voici le résultat de : sudo iptables -L -vn

Chain INPUT (policy DROP 37 packets, 2120 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2    88 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 37 packets, 2120 bytes)
 pkts bytes target     prot opt in     out     source               destination
]]> Sun, 21 Oct 2012 09:21:29 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11198451#p11198451 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11151441#p11151441 Tu a essayé avec les corrections du post #14 ?
Tu peut poster le message d'erreur s'il y en a un
S'il n'y en a pas utilise les commandes 

iptables -t filter -A INPUT -j LOG --log-prefix="DROP_IN "
iptables -t filter -A OUTPUT -j LOG --log-prefix="DROP_OUT "
sudo iptables -L -vn
tail -f /var/log/syslog

pour voir ce qui bloque. Tente quelques connexions et poste le retour

]]> Wed, 17 Oct 2012 13:05:28 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11151441#p11151441 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11148151#p11148151 Mon problème continue toujours,
En réponse a xavier4811, j'ai laissé les # sur le OUTPUT pour ne bloqué que les entrées, je ne suis pas en serveur je fais ça pour apprendre. Pour info j'ai suivi le tuto du Zite du Zero (a qui je dit merci au passage).
Précision, j'ai le même problème sur mon ordi portable ASUS et sur un PC de bureau HP.
Sur le portable, installation 12.04 depuis un live CD avec importation du /home après sauvegarde, et sur le HP installation de 12.04 suivant MaJ ubuntu.

Petite question, est ce vraiment utile un par-feu sur un ordi non serveur, j'ai déjà eu plusieurs tentative de connections a distance par des inconnus, et ma maman m'a toujours dit de ne pas ouvrir au inconnus ; )

]]> Wed, 17 Oct 2012 05:21:12 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11148151#p11148151 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11146951#p11146951 Bon tant pis.
Encore merci pour les infos et le coût de main, c'est sympa.

L'essentiel est que cela marche maintenant.
(en précision,
mon installation Ubuntu 12.04 est neuve, id est formatage du disque dur et réinstallation à partir d'un livecd 12.04.1 LTS 64 bits, pas de configuration particulière en dehors de l'installation standard si ce n'est le script iptables en question.
Éventuellement des restrictions sur la box pouvant expliquer cela? Mais ces mêmes restrictions ne posaient pas problème avant...)

Si hucoer peut nous dire si son problème persiste ou non, auquel cas je mettrai le sujet en résolu.

Ewen

]]> Tue, 16 Oct 2012 21:34:08 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11146951#p11146951 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11146861#p11146861 Pas du tout, ça parait pas logique. De toute façon je ne l'ai jamais constaté, j'ai toujours commencé par la boucle lo dans mes scripts, pour être sur de ne pas l'oublier.

]]> Tue, 16 Oct 2012 21:26:13 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11146861#p11146861 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11146741#p11146741 Ok merci!
Je vois que tu maîtrise ton sujet xavier4811.

Une idée, avec les infos données, sur le pourquoi les anciennes distro acceptaient mon script sans boucle locale et pas la 12.04?

Ewen

]]> Tue, 16 Oct 2012 21:18:47 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11146741#p11146741 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11146691#p11146691 Ewen56 a écrit :
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=58036 DPT=53 LEN=52
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=34501 DPT=53 LEN=47

Celà évoque-t-il quelquechose à quelqu'un?

DROP_OUT : le préfixe ajouté dans la commande, ici paquet sortant
IN= interface d'entrée (quand il y a)
OUT= interface de sortie (quand il y a, ici lo)
SRC=127.0.0.1 adresse IP source
DST=127.0.0.1 adresse IP de destination
LEN TOS PREC TTL ID DF pas très important avant de maîtriser beaucoup plus le sujet.
PROTO= protocole tcp|udp|icmp
SPT port source, celui de l'interface qui envoie la trame
DPT port de destination sur l'interface qui doit recevoir la trame

]]> Tue, 16 Oct 2012 21:12:41 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11146691#p11146691 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11146431#p11146431 Bonjour à tous,

Bon, avec une journée de retard, j'ai pu testé sur mon PC concerné et le script iptables fonctionne correctement si j'ajoute la boucle locale.
Je laisse le sujet ouvert pour le moment concernant le problème de hucoer.

Le script de test en question (si ça peut servir à quelqu'un) :

#Réinitialisation
sudo /sbin/iptables -F
sudo /sbin/iptables -t nat -F
sudo /sbin/iptables -t mangle -F
sudo /sbin/iptables -X
sudo /sbin/iptables -t nat -X
sudo /sbin/iptables -t mangle -X

# On bloque tout par défaut
sudo /sbin/iptables -t filter -P INPUT DROP
sudo /sbin/iptables -t filter -P FORWARD DROP
sudo /sbin/iptables -t filter -P OUTPUT DROP

#trafic web
#HTTP
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTPS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#DNS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#boucle locale
sudo /sbin/iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT

exit 0

Sinon, concernant la manip préconisée par xavier4811, en l'absence de la boucle locale j'obtiens des message de ce genre (tentative de MAJ d'ubuntu via Update-manager) :

Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=58036 DPT=53 LEN=52
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=34501 DPT=53 LEN=47

Ou

[...]
Oct 15 10:53:52 *****-System-Product-Name AptDaemon.Worker: INFO: Finished transaction /org/debian/apt/transaction/*************
Oct 15 10:54:10 *****-System-Product-Name NetworkManager[829]: <info> (eth0): carrier now OFF (device state 100, deferring action for 4 seconds)
Oct 15 10:54:10 *****-System-Product-Name kernel: [ *******] e1000e: eth0 NIC Link is Down
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): device state change: activated -> unavailable (reason 'carrier-changed') [100 20 40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): deactivating device (reason 'carrier-changed') [40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): canceled DHCP transaction, DHCP client pid 2140
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for ****::*******:****:**** on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv6 with address ****::*******:****:****
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv6 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] ADDRCONF(NETDEV_UP): eth0: link is not ready
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] DROP_OUTIN= OUT=eth0 SRC=192.168.1.12 DST=224.0.0.251 LEN=190 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 SPT=5353 LEN=170
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for 192.168.1.12 on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv4 with address 192.168.1.12.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv4 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name dnsmasq[2215]: exiting on receipt of SIGTERM
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> DNS: starting dnsmasq...
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): writing resolv.conf to /sbin/resolvconf
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=41286 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=42553 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=35375 DPT=53 LEN=47
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=51287 DPT=53 LEN=47
[...]

Celà évoque-t-il quelquechose à quelqu'un?

Sinon un grand merci à tous ceux qui m'ont aidé wink

Ewen

]]> Tue, 16 Oct 2012 20:56:58 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11146431#p11146431 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11136111#p11136111 
#!/bin/bash

#--Initialisation des connexions:

iptables -F
iptables -X

#--Définitions de connexions:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#--Autorisations des connexions locales:

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#--Autorisation des ports web, ssh, mail, icmp(ping):

#-- Si les serveurs tournent sur ta machine oui
#-- Si c'est un poste client, a effacer (au cas par cas)
#Ports entrant:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -A INPUT -p tcp --dport imap2 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

#Ports sortant:
#iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

#--Autorisation des ports déja connectés:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#-- Si c est pas un serveur,
#-- 1 - tu te complique la vie
#-- 2 - elles font comment pour sortir tes connexions avec le # ?
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
]]> Mon, 15 Oct 2012 22:10:55 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11136111#p11136111 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11135901#p11135901 Merci kypton68, mais je vient d'essayer et il y toujours la même erreur.

De plus, après lancement du script, je n'ai plus accès a internet, même après un iptables -F, obligé de redémarré (par ce que je ne vois pas comment faire autrement!)

]]> Mon, 15 Oct 2012 21:53:41 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11135901#p11135901 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11132761#p11132761 hucoer a écrit :

Bonjour a tous,

J'ai aussi un problème avec iptables, avant de passer sous 12.04 mon script marché bien, mais depuis voici ce qu'il m'affiche: 

Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.

Ha oui, et voici mon script: 

#!/bin/bash

#--Initialisation des connexions:

iptables -F

#--Définitions de connexions:

iptables -P INPUT DROP
#iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#--Autorisations des connexions locales:

iptables -A INPUT -i lo ACCEPT
iptables -A OUTPUT -i lo ACCEPT

#--Autorisation des ports web, ssh, mail, icmp(ping):

#Ports entrant:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -A INPUT -p tcp --dport imap2 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

#Ports sortant:
#iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

#--Autorisation des ports déja connectés:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

S'il vous plaît ne me jeter pas de cailloux si c'est j'ai fait une erreur a la con, je suis nouveau sur le forum et pas bien vieux dans le monde merveilleux d'Ubuntu.

Merci d'avance.

Sur lo l'interface de sortie ( OUTPUT ) smile -o a la place de -i;

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
]]> Mon, 15 Oct 2012 18:13:12 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11132761#p11132761 <![CDATA[Réponse à : iptables et ubuntu 12.04]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=11131291#p11131291 Bonjour a tous,

J'ai aussi un problème avec iptables, avant de passer sous 12.04 mon script marché bien, mais depuis voici ce qu'il m'affiche: 

Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.

Ha oui, et voici mon script: 

#!/bin/bash

#--Initialisation des connexions:

iptables -F

#--Définitions de connexions:

iptables -P INPUT DROP
#iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#--Autorisations des connexions locales:

iptables -A INPUT -i lo ACCEPT
iptables -A OUTPUT -i lo ACCEPT

#--Autorisation des ports web, ssh, mail, icmp(ping):

#Ports entrant:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -A INPUT -p tcp --dport imap2 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

#Ports sortant:
#iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

#--Autorisation des ports déja connectés:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

S'il vous plaît ne me jeter pas de cailloux si c'est j'ai fait une erreur a la con, je suis nouveau sur le forum et pas bien vieux dans le monde merveilleux d'Ubuntu.

Merci d'avance.

]]> Mon, 15 Oct 2012 15:51:54 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=11131291#p11131291