Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.
nombre réponses : 7

#0 -1 »  iptables et ubuntu 12.04 » Le 11/10/2012, à 20:21

Ewen56
Réponses : 24

Bonjour à tous,

Depuis quelques années j'utilisais un script de configuration d'iptables qui fonctionnait sans problème avec les versions 64 bits d'ubuntu 10.04, 10.10, 11.04 et 11.10, mais depuis mon passage sous la 12.04.1 LTS (64 bits toujours) pas moyen d'accéder à internet avec ce script...

J'ai donc réduit le script utilisé au minimum pour essai mais sans résultat jusqu'ici :

sudo /sbin/iptables -F
sudo /sbin/iptables -X

#On bloque tout par défaut
sudo /sbin/iptables -t filter -P INPUT DROP
sudo /sbin/iptables -t filter -P FORWARD DROP
sudo /sbin/iptables -t filter -P OUTPUT DROP

#trafic web
#HTTP
sudo /sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

#HTTPS
sudo /sbin/iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

#DNS
sudo /sbin/iptables -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

Ce code marchait très bien sur les versions antérieures d'ubuntu, mais plus sur la 12.04. Et je ne comprends pas pourquoi jusqu'ici.
Si je passe INPUT et OUTPUT en ACCEPT par défaut la connexion marche normalement (mais ce n'est pas ce que je recherche).

Si quelqu'un peut éclairer ma lanterne?

Précisions éventuellement utiles :
Je suis connecté à une box en filaire et la connexion semble bien être eth0.
Carte mère / réseau éthernet : Asus P8P67 Pro B3 rev 3.1
1 seul PC connecté (station de travail, pas en serveur)

#1 Re : -1 »  iptables et ubuntu 12.04 » Le 11/10/2012, à 22:48

Ewen56
Réponses : 24

Bonjour (soir) creamy,

Pour répondre à la dernière question, oui je suis en DHCP.

Et pour la remarque sur la boucle locale, non je n'avais pas testé... j'essaie ça dès que possible (probablement lundi car pas la main sur le pc en question avant...), et je reviens donner le résultat.

Si ça marche tant mieux, mais ce que je ne m'explique pas c'est pourquoi les versions antérieures à la 12.04 ne posaient pas de problème sans boucle locale ...

En tout cas merci pour le conseil...

(Au fait, question peut être de débutant, firefox ou la mise à jour logicielle - utilisés pour mes tests d'accès web - ont-ils vraiment besoin de la boucle locale pour s'exécuter?)

#2 Re : -1 »  iptables et ubuntu 12.04 » Le 12/10/2012, à 00:15

Ewen56
Réponses : 24

Merci pour la remarque, ce serait en effet mieux de connaître ce qui est rejeté dans le détail. big_smile

Je teste ça dès que possible (lundi au plus tard).

#3 Re : -1 »  iptables et ubuntu 12.04 » Le 12/10/2012, à 15:55

Ewen56
Réponses : 24

(Re) bonjour,

J'ai finalement testé sur un PC que j'avais sous la main avec un livecd i386 de la 12.04.1.

Même problème avec mon script (donc a priori pas lié au matériel).
En rajoutant la boucle locale, comme suggéré par Creamy, là ça marche sans problème...
Donc merci à tous les deux de votre aide.

Je retesterai sur le PC dont je parlais au début.

Ce qui m'étonne tout de même c'est que mon script marchait sans encombre avec les anciennes moutures d'Ubuntu.
Enfin l'essentiel c'est que celà marche! (si quelqu'un peut éventuellement indiquer ce qui a changé entre la 12.04 et les versions précédentes?)

#4 Re : -1 »  iptables et ubuntu 12.04 » Le 16/10/2012, à 22:56

Ewen56
Réponses : 24

Bonjour à tous,

Bon, avec une journée de retard, j'ai pu testé sur mon PC concerné et le script iptables fonctionne correctement si j'ajoute la boucle locale.
Je laisse le sujet ouvert pour le moment concernant le problème de hucoer.

Le script de test en question (si ça peut servir à quelqu'un) :

#Réinitialisation
sudo /sbin/iptables -F
sudo /sbin/iptables -t nat -F
sudo /sbin/iptables -t mangle -F
sudo /sbin/iptables -X
sudo /sbin/iptables -t nat -X
sudo /sbin/iptables -t mangle -X

# On bloque tout par défaut
sudo /sbin/iptables -t filter -P INPUT DROP
sudo /sbin/iptables -t filter -P FORWARD DROP
sudo /sbin/iptables -t filter -P OUTPUT DROP

#trafic web
#HTTP
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTPS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#DNS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#boucle locale
sudo /sbin/iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT

exit 0

Sinon, concernant la manip préconisée par xavier4811, en l'absence de la boucle locale j'obtiens des message de ce genre (tentative de MAJ d'ubuntu via Update-manager) :

Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=58036 DPT=53 LEN=52
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=34501 DPT=53 LEN=47

Ou

[...]
Oct 15 10:53:52 *****-System-Product-Name AptDaemon.Worker: INFO: Finished transaction /org/debian/apt/transaction/*************
Oct 15 10:54:10 *****-System-Product-Name NetworkManager[829]: <info> (eth0): carrier now OFF (device state 100, deferring action for 4 seconds)
Oct 15 10:54:10 *****-System-Product-Name kernel: [ *******] e1000e: eth0 NIC Link is Down
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): device state change: activated -> unavailable (reason 'carrier-changed') [100 20 40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): deactivating device (reason 'carrier-changed') [40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): canceled DHCP transaction, DHCP client pid 2140
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for ****::*******:****:**** on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv6 with address ****::*******:****:****
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv6 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] ADDRCONF(NETDEV_UP): eth0: link is not ready
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] DROP_OUTIN= OUT=eth0 SRC=192.168.1.12 DST=224.0.0.251 LEN=190 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 SPT=5353 LEN=170
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for 192.168.1.12 on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv4 with address 192.168.1.12.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv4 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name dnsmasq[2215]: exiting on receipt of SIGTERM
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> DNS: starting dnsmasq...
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): writing resolv.conf to /sbin/resolvconf
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=41286 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=42553 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=35375 DPT=53 LEN=47
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=51287 DPT=53 LEN=47
[...]

Celà évoque-t-il quelquechose à quelqu'un?

Sinon un grand merci à tous ceux qui m'ont aidé wink

Ewen

#5 Re : -1 »  iptables et ubuntu 12.04 » Le 16/10/2012, à 23:18

Ewen56
Réponses : 24

Ok merci!
Je vois que tu maîtrise ton sujet xavier4811.

Une idée, avec les infos données, sur le pourquoi les anciennes distro acceptaient mon script sans boucle locale et pas la 12.04?

Ewen

#6 Re : -1 »  iptables et ubuntu 12.04 » Le 16/10/2012, à 23:34

Ewen56
Réponses : 24

Bon tant pis.
Encore merci pour les infos et le coût de main, c'est sympa.

L'essentiel est que cela marche maintenant.
(en précision,
mon installation Ubuntu 12.04 est neuve, id est formatage du disque dur et réinstallation à partir d'un livecd 12.04.1 LTS 64 bits, pas de configuration particulière en dehors de l'installation standard si ce n'est le script iptables en question.
Éventuellement des restrictions sur la box pouvant expliquer cela? Mais ces mêmes restrictions ne posaient pas problème avant...)

Si hucoer peut nous dire si son problème persiste ou non, auquel cas je mettrai le sujet en résolu.

Ewen