Ubuntu-fr

Aniem

Problème avec iptables [Résolu]

Bonjour,

J'ai installé Kubuntu 7.04 récemment sur mon portable, et après avoir configuré et installé le nécessaire pour que ça puisse fonctionner correctement, je me suis mis a me mettre a vouloir un bon firewall. Je savais que le firewall linux est iptables et qu'il se configurait dans le shell. Comme j'étais réticent a apprendre les paramètres de configuration d'iptables, j'ai cherché un GUI pour iptables. Parmi ceux que j'ai essayé (shorewall firestarter guarddog fwbuilder), aucun ne m'a vraiment plus et permis de gérer comme je le voulais iptables.

Après un problème de connexion internet impossible alors que j'essayais firestarter (plus moyen de visiter un site web), je me suis mis a la config d'iptables dans le shell, et je dois dire que je m'en sort plutôt bien... j'ai donc réalisé un script qui configure iptables et j'ai fait en sorte qu'il se lance au démarrage (update-rc.d et aussi essayé manuellement avec la création de lien symboliques dans les dossiers /etc/rcX.d). Le problème c'est qu'au démarrage il charge toujours l'autre config d'iptables, celle qui m'empêche de visiter un site web, de telecharger des paquets, et même d'envoyer des requêtes basiques, type ping sur le réseau.

J'ai constaté qu'a la connexion au réseau (branchement du câble ethernet) il chargeait automatiquement cette configuration.

Comment puis-je faire pour ne plus que linux ne lance ce script qui me configure mal iptables, au profit du mien??

PS: Au fait, j'ai fait une connerie, j'ai mal désinstaller shorewall (enlevé tous les fichiers installés au lieu de passer par dpkg ou le gestionnaire de paquets). Y a-t-il un moyen de réparer cette erreur?? <- Probleme resolu, j'ai regardé les possibilités de dpkg et dpkg-deb et j'ai extraits les fichiers sans installer avant de desinstaller

Dernière modification par Aniem (Le 30/08/2007, à 17:15)

zorto

Re : Problème avec iptables [Résolu]

Message ouvert à 12:08
Résolu tout seul à 12:18 .
Bravo !

Aniem

Re : Problème avec iptables [Résolu]

Non c'est le deuxième problème qui est résolu ^^ j'avais mal cherché ... je cherche encore a "réparer" iptables de manière a ce que le script non voulu ne se charge plus...

Savez-vous ou peut il être ce script qui se lance a chaque connexion avec le serveur DHCP du réseau??
Je pense qu'il est lancé par KNetworkManager mais je ne suis pas sur, je n'y ai vu aucune référence dans le manuel

greg_s50

Re : Problème avec iptables [Résolu]

sudo apt-get remove shorewall firestarter guarddog fwbuilder --purge (ça te vire shorewall firestarter guarddog fwbuilder et les fichiers de conf qui trainent)

Puis tu vas ici http://easyfwgen.morizot.net/gen/
tu mets les paramètres que tu veux... (si tu as plusieurs interfaces à protéger mets eth+ pour appliquer les regles à toutes les interfaces)
Copier/coller de la page générée, sudo vi /etc/init.d/iptables (tu vires tout ce qui a dedans si tu as quelques choses)
Colle les lignes que tu as copié. (sudo gedit /etc/init.d/iptables ça marche aussi )
enregistre le fichier

cd /etc/init.d/
sudo chmod +x /etc/init.d/iptables (pour rendre ton script executable)
sudo update-rcd iptables defaults (pour le rendre actif au demarrage de ton pc )

Voilou
(j'ai fait de tete donc il se peut qu'il y est des errreurs )

Dernière modification par greg_s50 (Le 30/08/2007, à 13:12)

---

Daupheus.com Miroir Officiel Ubuntu =>> http://www.daupheus.com/?p=422
Télécharger Ubuntu 14.04 LTS (Trusty Tahr) =>> http://ubuntu.daupheus.com/

Aniem

Re : Problème avec iptables [Résolu]

Merci le problème est résolu. j'ai purgé comme indiqué, apparemment c'était ça qui posait problème. la seconde partie, ce n'était pas la peine, j'avais déjà écrit mon script et configuré pour qu'il se lance au démarrage.

Merci!!

CasseTaTele

Re : Problème avec iptables [Résolu]

Bonjour,

j'ai un problème similaire : lorsque je démarre je n'ai pas accès à internet (firefox cherche en vain google...) , pour qu'iptables se configure correctement, je suis obligé de redémarrer le réseau (en décochant puis recochant la case activé de l'icone réseau ou en console sudo /etc/init.d/networking restart ).

J'ai essayé de bien faire toutes les étapes ci-dessus mais le problème demeure (au passage il faut taper sudo update-rc.d iptables defaults avec un point).
J'ai ensuite rajouté un lien symbolique vers /etc/init.d/iptables dans /etc/network/if-pre-up.d
mais ça n'a rien changé...

j'avais moi aussi installé firestarter et shorwall mais j'ai bien tout désinstallé (avec 'purge' et j'ai même effacé manuellement le repertoire /etc/shorwall qui n'a pas voulu s'effacer tout seul) ... d'où peut venir le problème ?

merci.

Dernière modification par CasseTaTele (Le 04/09/2007, à 08:54)

---

J'ai besoin de votre aide svp!

greg_s50

Re : Problème avec iptables [Résolu]

essaye de suivre le tuto que j'ai écris
http://www.daupheus.com/?p=15

---

Daupheus.com Miroir Officiel Ubuntu =>> http://www.daupheus.com/?p=422
Télécharger Ubuntu 14.04 LTS (Trusty Tahr) =>> http://ubuntu.daupheus.com/

ppontech

Re : Problème avec iptables [Résolu]

Bonsoir,

Je lis ici et là qu'il n'est pas nécessaire d'avoir un firewall sous linux car iptables fait très bien cela en tache de fond.Dont acte...

Mais que penser quand on va sur le site  de PCFLANK.COM et qu'il résulte de leurs tests que vous avez des ports visibles : 21 - 23 - 80 - 1243 - 3128 - 12345 et 12348

Doit-on s'en inquiéter ? Sauf erreur de ma part, le port 80 sert à naviguer sur le web et donc il est normal qu'il soit ouvert ?

Au plaisir de vous lire ...

saigone

Re : Problème avec iptables [Résolu]

bonjour a tous. j'utilise ubuntu server 9.04 et j'ai un probléme j'ai elaborer mon script iptables donc voici le code:
#!/bin/sh

LOCAL="eth0"
INTERNET="eth1"
eth0="         "
eth1="         "
INTERNET_BROADCAST="        "
PRIVATE_NETWORK="               "

echo -n "chargement des regles iptables"

#vider les tables actuelles
iptables -F
iptables -X

#activation du forwading
echo 1 > /proc/sys/net/ipv4/ip_forward

#activation du partage de connexion
echo "1" > /proc/sys/net/ipv4/ip_forward

#pas de spoofing
if [ -e /proc/sys/net/ipv4/CONF/all/rp_filter ]
then
    for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
      do
        echo 1 > $filtre
      done
fi

#pas de synflood
if [ -e  /proc/sys/net/ipv4/tcp_syncookies ] ; then
     echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

#modules requis
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#regles par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#chaine pour les bad tcp paquets
iptables -N bad_tcp_paquets

#bad tcp paquets
iptables -A bad_tcp_paquets -p tcp --tcp-flags SYN,ACK SYN,ACK  -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_paquets -p tcp ! --syn -m state --state NEW -j LOG  --log-prefix "NEW not syn:"
iptables -A bad_tcp_paquets -p tcp ! --syn -m state --state NEW -j DROP

#translation d'adresse pour tout ce qui sort vers l'internet
iptables -A POSTROUTING -t nat -o $INTERNET -j MASQUERADE

#on accepte tout ce qui sort et entre de l'interface de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTOUT -o lo -j ACCEPT

#on accepte les pacquets entrants relatifs à des connexions deja etablies sur l'interface connecté à internet
iptables -A INPUT -i $INTERNET -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET -m state --state NEW

#on accepte les paquets entrants relatifs à des connexions deja etablies sur l'interface lan
iptables -A INPUT -i $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LOCAL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#regles icmp
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT

#on laisse passer le dns
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT

#on laisse passer l'envoi de mail
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABHISED,RELATED -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#FORWADING
#toutes les connections venant du lan destiné a etre forwadé sont acceptées.
iptables -A FORWARD -i $LOCAL -o $INTERNET  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#seules les relations deja etablies ou en relation avec des connexions deja etablies sont acceptées venant du net vers le LAN.
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT

#permettre a tout le lan d'acceder à internet avec la meme adresse.
iptables -t nat -A POSTROUTING -s $PRIVATE_NETWORK -j MASQUERADE

#on refuse les paquets invalides et les connexions entrantes.
iptables -A INPUT -i $INTERNET -m state --state NEW,INVALID -j bad_tcp_paquets
iptables -A OUTPUT -o $INTRENET -m state --state INVALID -j bad_tcp_paquets

#toutes les paquets qui n'auront pas passé les regles du firewall seront reffusés et logués
iptables -A FORWARD -j bad_tcp_paquets
iptables -A INPUT -j bad_tcp_paquets
iptables -A OUTPUT -j bad_tcp_paquets

lorsque je l'execute j'ai les messages d'erreurs suivantes :
chargement des regles iptablesiptables : no chain/target/match by that name
iptables v1.4.1.1: bad state 'established,related'
bad argument 'masquerade'
bad argument 'state'

je n'arrive pas à detecter l'erreur. merci pour toutes propositions.