Ubuntu-fr

bubu8941

[résolu]help problème iptables

voila j'utilise un serveur debian avec xen d'installé dessus...
lorsque je met mon script de firewall au démarrage de la machine virtuelle, plus rien ne semble fonctionner.. alors que je pense que mon script est correct ... le voici :

#!/bin/bash

#nettoyage iptable
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
#autorisation ssh et/ou ldap port entrant
/sbin/iptables -A INPUT -p tcp -i eth0  --dport ssh -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0  --dport ldap -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0  --dport ftp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0  --dport nfs -j ACCEPT

#bloquer reste du trafic entrant
/sbin/iptables -P INPUT DROP
#autoriser le trafic en local
/sbin/iptables -I INPUT 2 -i lo -j ACCEPT

Dernière modification par bubu8941 (Le 24/05/2007, à 11:46)

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

bubu8941

Re : [résolu]help problème iptables

euh au secours

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Plus rien ne semble fonctionner... C'est à dire ?
Plus de connection ssh par exemple ?
Est ce que lorsque tu flush les rêgles ssh remarche ?

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

en effet, plus de connexion ssh :./
oui tout refonctionne quand je remet une politique ACCEPT pour INPUT....
je ne comprend pas ce qui bloque dans le sens où une fois que j'ai autorisé les services qui me sont nécessaires, cela devrait fonctionner.....

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Est-tu sur qu'avec xen c'est bien eth0 qui est utilisé ??
Si ça se trouve en virtuel ça n'est pas routé par eth mais directement en lo.

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

non il s'agit bien de l'interface eth0
en fait il y a un brdige entre l'interface virtuelle de la machine virtuelle et l'interface réelle
au fait merci Santa de m'aider

Dernière modification par bubu8941 (Le 22/05/2007, à 17:37)

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Question bête: tu n'as pas changer le port d'écoute de ton serveur ssh ??
Il écoute bien sur le port 22 ?

Essaye de mettre 22 au lieu de ssh dans ton script. Peut-être que le fichier /etc/services est mal renseigné... J'y crois pas trop mais bon.

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

ok je vais vérifier ça mais je ne me souviens pas avoir changé le port d'écoute de ssh

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

bubu8941

Re : [résolu]help problème iptables

ouais avec 22 c'est pas trop ça même si je peux me loger, je m'explique :
il faut deux bonnes minutes pour que le serveur me demande mon mot de passe et encore 5 bonnes minutes pour être dans ma session ....

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Ca ressemble à un pb de résolution DNS. SSH fait une résolution DNS sur l'IP du client pour les logs, vérifie que ta machine virtuelle résout facilement des requêtes dns lorsque le script iptables est actif.

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

ouais mais quand on a pas de dns comment on fait pour contourner ce souci??

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Que se passe-t-il si tu change la policy INPUT en REJECT au lieu de DROP ?

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

le REJECT me met comme erreur "Bad policy name", et remplace le DROP par un ACCEPt

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Et pour les autres services tu as le même comportement ?? Un lag de 2 mn avant de fonctionner ?
ftp par ex.

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

Santa

Re : [résolu]help problème iptables

Dans le fichier /etc/hosts de la machine virtuelle, ajoute les noms de tes deux machines. Genre:

192.168.0.2  madebian
192.168.0.3  debianxen

Ca aidera la resol dns si c'est ça le pb.

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

j'ai fait cette modification mais cela ne change rien à mon problème de délai..

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

Santa

Re : [résolu]help problème iptables

Je cale. Surtout si ton ftp fait pareil...
Essaye de sniffer avec wireshark si tu te le sens...

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

ouais n'empêche je me demande si les problèmes viennent du  fait que cette machine soit une vm xen (que j'ai d'ailleurs eu toutes les peines du monde à faire tourner) enfin merci quand même du coup de main ^^

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !

fredr

Re : [résolu]help problème iptables

Essayes d'ajouter:

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

FredR

---

ArcoLinuxD Awesome
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

fredr

Re : [résolu]help problème iptables

Mon script iptables ci dessous: il ne me pose aucun problème.

#!/bin/sh
##
## iptables.sh
##
## Made by Frederic
## Login   <fredremy@fredremy-laptop>

##

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -I INPUT -i vmnet8 -j ACCEPT
iptables -I OUTPUT -o vmnet8 -j ACCEPT

iptables -I INPUT -s 127.0.0.1 -j ACCEPT

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -p TCP --dport 20 -m state --state NEW -j ACCEPT
iptables -I INPUT -p TCP --dport 21 -m state --state NEW -j ACCEPT
iptables -I INPUT -p TCP --dport 80 -m state --state NEW -j ACCEPT
iptables -I INPUT -p TCP --dport 443 -m state --state NEW -j ACCEPT
iptables -I INPUT -p TCP --dport 23 -m state --state NEW -j ACCEPT

---

ArcoLinuxD Awesome
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.

rj

Re : [résolu]help problème iptables

Bonjour,

En suivant le tutoriel "Comment configurer son réseau local" j'essai de mettre en place la fonction "ICS" sur un poste Ubunu 6.06 dapper et je coince au chapitre "Activer le partage de connexions.

Le poste qui recoit ICS a une l'adresse: 10.0.0.2 - masque: 255.0.0.0 - passerelle - 10.0.0.138  et est connecté au reseau via une carte eth0

J'ai un portable qui a une l'adresse: 10.0.0.3 - masque: 255.0.0.0 - passerelle - 10.0.0.138

Mon modem/routeur est un speedtouch 530 est connecé au poste qui recoit le ICS via eth1 avec dhcp

j'ai activer le partage réseau par:

iptables -t nat -A POSTROUTING -s 10.0.0.0/32 -o eth1 -j MASQUERADE

Daprès le tutoriel à ce stade je doit pouvoir me connecter sur internet.

Je peus me connecter avec la poste ICS mais pas avec le portable

Je pense avoir fait une erreur avec le paramtrage des postes

Quelqu'un a t-il une idée à me donner

Santa

Re : [résolu]help problème iptables

=> rj crée un nouveau poste pour ta question

=> fredr, ça se tente mais si ça marche je comprends pas: avec
/sbin/iptables -A INPUT -p tcp -i eth0  --dport ssh -j ACCEPT
il couvre déjà les established. Et en ssh il n'y a pas de RELATED.

Mais qui ne tente rien...

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

bubu8941

Re : [résolu]help problème iptables

merci fredr merci merci merci tout fonctionne correctement maintenant
encore merci à tout le monde

---

Le bar est loin, la route est verglacée, l'église est proche mais je marcherai avec prudence.
Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade !