#1 Le 31/03/2014, à 21:24
- salsbo
2 cartes ethernet, partage de connexion et iptables
Bonsoir,
je dispose de 2 cartes ethernet sur mon shuttle
le eth0 pour le WAN et le eth1 pour le LAN
j'ai une ubuntu desktop 12.04
j'ai activé le iptables mascarade et le ipv4forward
tout fonctionne bien sauf que j'ai paramètre mon iptables pour être complètement isolé sur le WAN et quand je fais depuis une machine distante un nmap de mon shuttle, je vois malgré tout le port 22 et 53 OPEN ? comment est possible ?
voici mon fichier d'iptables :
ptofitez en pour me donner des conseils car j'ai constitué ce fichier au gré de ma comprehension des règles
merci
bien à vous
#!/bin/bash
### BEGIN INIT INFO
# Provides: reglage perso
# Required-Start: $network $syslog
# Required-Stop: $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Installe le parefeu
# Description: Installe le parefeu
### END INIT INFO###
/sbin/iptables -P INPUT DROP # par défaut, on drop tout les flux entrants
# Pour permettre a une connexion déja ouverte de recevoir du trafic
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autoriser le traffic local
/sbin/iptables -I INPUT 2 -i lo -j ACCEPT
/sbin/iptables -A INPUT -d 192.168.20.0/24 -j ACCEPT
#/sbin/iptables -I INPUT 2 -i eth1 -j ACCEPT
# Permettre le trafic entant sur un port specifique
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport ftp -j ACCEPT #ftp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 587 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 465 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT #imap
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT #imapssl
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 993 -j ACCEPT #imapssl
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 53 -j ACCEPT #bind
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT #www
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT #https
#/sbin/iptables -A INPUT -p udp -i eth0 --dport 1194 -j ACCEPT #openvpn
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 1080 -j ACCEPT #proxy socks
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 8383 -j ACCEPT #oracle http
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 1521 -j ACCEPT #oracle db
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3306 -j ACCEPT #mysql
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 8080 -j ACCEPT #trap FT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 5900 -j ACCEPT #vnc
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 5800 -j ACCEPT #vnc
# On modifie la politique par defaut
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
/sbin/iptables -A FORWARD -o eth1 -j ACCEPT
# Pour partager la connexion internet (eth0 = WAN)
#/sbin/iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
# On autorise le PC a faire des pings sur des IP externes et répondre aux requêtes "pin
#/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On autorise les pings
/sbin/iptables -A INPUT -p icmp -i eth0 -j ACCEPT
Hors ligne
#2 Le 31/03/2014, à 22:03
- pires57
Re : 2 cartes ethernet, partage de connexion et iptables
la flemme de réfléchir ... que donnes
iptables -L
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#3 Le 31/03/2014, à 22:08
- feeatmod
Re : 2 cartes ethernet, partage de connexion et iptables
Bonsoir
pas de régles précisée par défaut en output ?
donc sauf erreur la régle par défaut de iptables est restée ACCEPT
toutes le connexions sortantes
qu'est ce qui était déjà established en connexion entrante input ?
feeatmod
Dernière modification par feeatmod (Le 31/03/2014, à 22:11)
"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits
Hors ligne
#4 Le 31/03/2014, à 22:12
- salsbo
Re : 2 cartes ethernet, partage de connexion et iptables
alors ...
root@shuttle:/usr/local/src/noip-2.1.9-1# iptables -L -v -n
Chain INPUT (policy DROP 42 packets, 5642 bytes)
pkts bytes target prot opt in out source destination
93 12097 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
26 3101 ACCEPT all -- * * 0.0.0.0/0 192.168.20.0/24
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5800
1 64 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
601 51930 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
761 577K ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 163 packets, 27098 bytes)
pkts bytes target prot opt in out source destination
Dernière modification par salsbo (Le 31/03/2014, à 22:21)
Hors ligne
#5 Le 31/03/2014, à 22:30
- salsbo
Re : 2 cartes ethernet, partage de connexion et iptables
bon ... je suis un boulet
j'avais oublié le -F ... donc j'étais sur des vieilles règles !
désolé
Hors ligne