Ubuntu-fr

Guizmo.7

[Resolu] Mon iptables bloque apt-get ?

Bonjour,

Je fais quelques essais sur un petit pc converti en serveur et je voudrais le mettre à jour.
Avec un sudo apt-get update j'obtiens plein de message du genre :

W: Impossible de récupérer http://security.ubuntu.com/ubuntu/dists/hardy-security/multiverse/i18n/Translation-fr.bz2  Ne parvient pas à résoudre « security.ubuntu.com »

Est-ce a cause de mon configuration de netfilter ?
Dans ce cas, que faut-il laisser passer ?

Merci d'avance.

Dernière modification par Guizmo.7 (Le 09/05/2008, à 12:52)

---

Un pas après l'autre, la petite créature verte avance !

Soulearth

Re : [Resolu] Mon iptables bloque apt-get ?

Pour les mises a jour tu as besoins d'ouvrir les transfert a distination du port 80 (http) et 20,21 FTP. il te faut aussi le DNS

Un exemple a moi.

#!/bin/bash
#

# Nous vidons les chaines predefinies :
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Nous supprimons les regles des chaines personnelles :
iptables -X 
iptables -t nat -X
iptables -t mangle -X

# Nous les faisons pointer par déut sur DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Autorise les rénses
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# On autorise le ping
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 5/s -j ACCEPT

#(Facultatif : autoriser l'accés au serveur sdepuis l'extérieur)
iptables -A INPUT -p TCP --dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport http -i eth0 -j ACCEPT
iptables -A INPUT -p TCP --dport 64738 -i eth0 -j ACCEPT
iptables -A INPUT -p UDP --dport 64738 -i eth0 -j ACCEPT

# anti scan
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

#Make sure NEW incoming tcp connections are SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Packets with incoming fragments
iptables -A INPUT -f -j DROP

#incoming malformed XMAS packets
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

#Incoming malformed NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP


#Autoriser DNS
iptables -A OUTPUT --protocol udp --destination-port 53 -j ACCEPT

#Sortie web
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

#Autoriser sortie FTP
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 161 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 161 -j ACCEPT


#Regles de secu
iptables -A INPUT -p all -j DROP
iptables -A OUTPUT -p all -j DROP
iptables -A FORWARD -p all -j DROP

Dernière modification par Soulearth (Le 08/05/2008, à 20:34)

Guizmo.7

Re : [Resolu] Mon iptables bloque apt-get ?

Merci
Il me manquait sûrement l'autorisation pour le DNS.
Je vais voir ton exemple et l'adapter à mes règles.

---

Un pas après l'autre, la petite créature verte avance !

Guizmo.7

Re : [Resolu] Mon iptables bloque apt-get ?

Ca mache nickel
Mais je voudrais juste une petite explication, pourquoi le DNS n'a le droit que en OUTPUT ?
Merci d'avance.

---

Un pas après l'autre, la petite créature verte avance !

Soulearth

Re : [Resolu] Mon iptables bloque apt-get ?

En fait les output c'est quand tu fais la requete vers des serveurs sur le net, serveur DNS, web, ftp, etc...
Les input c'est si tu recoit des requetes, par exemple si tu heberge un serveur.

Alors tu me dira si je fais une requete DNS vers l'exterieur faut que la reponse revient donc "entre". Tu as raison, mais ce cas correspont uniquement a une requete entrante en réponse a une requete sortante envoyé précédement. Et pour autoriser les reponses il y a les lignes:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Elles autorisent les reponses au requete que tu envoi (ligne 2) , et autorise que tu réponde au requete entrante autorisées ligne 1.

Dernière modification par Soulearth (Le 08/05/2008, à 23:38)

Guizmo.7

Re : [Resolu] Mon iptables bloque apt-get ?

D'accord, j'ai tout compris
Merci beaucoup !

---

Un pas après l'autre, la petite créature verte avance !

Soulearth

Re : [Resolu] Mon iptables bloque apt-get ?

C'est bien si tu as compris, iptables n'est pas la chose la plus simple a appréhender. Pour mon script adapte le bien a ton besoin car il est prevu pour un serveur Mumble et apache avec le ssh d'ouvert. Tu n'as pas besoins d'ouvrir tous ces ports.

Guizmo.7

Re : [Resolu] Mon iptables bloque apt-get ?

Soulearth, si tu es toujours la je ne comprend pas un autre détail.

Des fois tu mets "iptables -A ..." et d'autres fois "iptables -t filter -A ..."
Par exemple à la fin de ton fichier :

#Autoriser sortie FTP
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 161 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 161 -j ACCEPT

Qu'elles sont ces différences ?

---

Un pas après l'autre, la petite créature verte avance !

Soulearth

Re : [Resolu] Mon iptables bloque apt-get ?

Ya pas de différence, -t c'est pour choisir la table , et celle par default c'est la filter de toute manière donc mettre -t filter n'est pas très utile.

Guizmo.7

Re : [Resolu] Mon iptables bloque apt-get ?

Merci beaucoup !
ça y est je suis un firewall dans l'âme

---

Un pas après l'autre, la petite créature verte avance !

Soulearth

Re : [Resolu] Mon iptables bloque apt-get ?

c'est bien, tu as beaucoup appris sur le coup. Ca fait plaisir. a+