Ubuntu-fr

salsbo

2 cartes ethernet, partage de connexion et iptables

Bonsoir,

je dispose de 2 cartes ethernet sur mon shuttle
le eth0 pour le WAN et le eth1 pour le LAN
j'ai une ubuntu desktop 12.04
j'ai activé le iptables mascarade et le ipv4forward

tout fonctionne bien sauf que j'ai paramètre mon iptables pour être complètement isolé sur le WAN et quand je fais depuis une machine distante un nmap de mon shuttle, je vois malgré tout le port 22 et 53 OPEN ? comment est possible ?

voici mon fichier d'iptables :

ptofitez en pour me donner des conseils car j'ai constitué ce fichier au gré de ma comprehension des règles

merci

bien à vous

#!/bin/bash

### BEGIN INIT INFO
# Provides:          reglage perso
# Required-Start:    $network $syslog
# Required-Stop:     $network $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Installe le parefeu
# Description:       Installe le parefeu
### END INIT INFO###

/sbin/iptables -P INPUT DROP # par défaut, on drop tout les flux entrants

# Pour permettre a une connexion déja ouverte de recevoir du trafic
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autoriser le traffic local
/sbin/iptables -I INPUT 2 -i lo -j ACCEPT
/sbin/iptables -A INPUT -d 192.168.20.0/24 -j ACCEPT
#/sbin/iptables -I INPUT 2 -i eth1 -j ACCEPT

# Permettre le trafic entant sur un port specifique
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport ftp -j ACCEPT #ftp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 587 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 465 -j ACCEPT #smtp
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT #imap
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT #imapssl
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 993 -j ACCEPT #imapssl
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 53 -j ACCEPT #bind
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT #www
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT #https
#/sbin/iptables -A INPUT -p udp -i eth0 --dport 1194 -j ACCEPT #openvpn
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 1080 -j ACCEPT #proxy socks
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 8383 -j ACCEPT #oracle http
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 1521 -j ACCEPT #oracle db
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3306 -j ACCEPT #mysql
#/sbin/iptables -A INPUT -p tcp -i eth0 --dport 8080 -j ACCEPT #trap FT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 5900 -j ACCEPT #vnc
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 5800 -j ACCEPT #vnc

# On modifie la politique par defaut
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
/sbin/iptables -A FORWARD -o eth1 -j ACCEPT

# Pour partager la connexion internet (eth0 = WAN)
#/sbin/iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE

# On autorise le PC a faire des pings sur des IP externes et répondre aux requêtes "pin
#/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# On autorise les pings
/sbin/iptables -A INPUT -p icmp -i eth0 -j ACCEPT

pires57

Re : 2 cartes ethernet, partage de connexion et iptables

la flemme de réfléchir ... que donnes

iptables -L

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

feeatmod

Re : 2 cartes ethernet, partage de connexion et iptables

Bonsoir

pas de régles précisée  par défaut en output ?
donc sauf erreur la régle par défaut  de iptables est restée  ACCEPT
toutes le connexions sortantes

qu'est ce qui était déjà established en connexion entrante  input ?
feeatmod

Dernière modification par feeatmod (Le 31/03/2014, à 22:11)

---

"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

salsbo

Re : 2 cartes ethernet, partage de connexion et iptables

alors ...

root@shuttle:/usr/local/src/noip-2.1.9-1# iptables -L -v -n

Chain INPUT (policy DROP 42 packets, 5642 bytes)
pkts bytes target     prot opt in     out     source               destination         
   93 12097 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   26  3101 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.20.0/24     
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5900
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5800
    1    64 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
  601 51930 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
  761  577K ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 163 packets, 27098 bytes)
pkts bytes target     prot opt in     out     source               destination

Dernière modification par salsbo (Le 31/03/2014, à 22:21)

salsbo

Re : 2 cartes ethernet, partage de connexion et iptables

bon ... je suis un boulet

j'avais oublié le -F ... donc j'étais sur des vieilles règles !

désolé