Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/05/2012, à 20:50

ubuntuforce

Script iptables ne fonctionne pas [résolu]?

Salut les Linuxiens d'Ubuntu:
J'ai le script de firewall suivant dans le context d'un serveur apache:

#!/bin/bash
sudo iptables -F
sudo iptables -X
##############*
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.1.1 -m state --state NEW -m multiport --dports 80,433 -j ACCEPT
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --dports 80,433 -j ACCEPT

sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1      -m state --state NEW -m multiport --sports 80,443 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1      -m state --state ESTABLISHED,RELATED -m multiport --sports 80,443 -j ACCEPT

Qui ne marche pas.
Est-ce-que quelqu'un pourrait m'expliquer pourquoi s'il vous plait car je ne comprend pas: le navigateur tourne en boucle infinis...

Le script suivant marche:

#!/bin/bash
sudo iptables -F
sudo iptables -X
##############*
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -A INPUT  -p tcp -j ACCEPT
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --dports 80,433 -j ACCEPT

sudo iptables -A OUTPUT -p tcp -j ACCEPT
sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1      -m state --state ESTABLISHED,RELATED -m multiport --sports 80,443 -j ACCEPT

Mais si j'ajoute ne serai-ce qu'une seule option du premier dont la plus importante est le port il ne marche plus...
SOS, a l'aide, au secours, je n'en peut plus...
Merci pour vos réponses éclairées.

Dernière modification par ubuntuforce (Le 04/05/2012, à 06:01)


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#2 Le 03/05/2012, à 11:55

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

Bon comme je n'ai pas de réponses,
vous pensez peut-être comme moi que mon script devrai normalement marcher et vous ne savez pas quoi répondre.
Et moi je ne sais plus quoi essayer afin d'avoir un script firewall qui marche.
Merci de bien vouloir me signaler si vous pensez comme moi.
Merci pour vos réponses.


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#3 Le 03/05/2012, à 12:21

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

hello
et plutôt que des sudo dans le script, est-ce que sudo script fonctionne ?

Dernière modification par credenhill (Le 03/05/2012, à 12:21)

Hors ligne

#4 Le 03/05/2012, à 14:23

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

Merci pour le tuyaux je n'y ai pas penser comme le script me demande le mot de passe et d'ailleurs je le lance comme ca:

. monscript

Peut-être que ca vient de la je vais essayer comme ca:

sudo monscript

merci.


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#5 Le 03/05/2012, à 14:30

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

pourquoi

. monscript

plutôt que

./monscript

?

Hors ligne

#6 Le 03/05/2012, à 14:42

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

Pourquoi cette question ? C'est pas pareil ?
Je viens de tester et ca ne marche pas avec sudo:

sudo: monscript: command not found

Pourtant j'ai placer le script dans un dossier de la variable PATH, si tu a poser la question je crois deviner la réponse:
Il faudrai le script firewall soit dans un dossier système comme /usr/bin, /usr/sbin, /usr/local/bin ou /usr/local/sbin par exemple ?
Si j'ai vu juste peut tu m'indiquer l'emplacement, ca évitera de tester tous les emplacements possibles.
Sinon je sais pourquoi ce ne marche pas.


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#7 Le 03/05/2012, à 14:49

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

si tu es dans le répertoire, tu peux toujours faire

./monscript
# ou
sudo ./monscript

après, soit le mettre dans /usr/local/bin soit dans ~/bin si il existe et est dans le PATH
./script crée un sous-shell, exécute et rend la main
. script remplace le shell courant par le script et dans un terminal, le ferme quand le script termine

Hors ligne

#8 Le 03/05/2012, à 14:56

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

D'ailleurs je viens de tester en vain en plaçant le script dans /usr/local/bin et ca ne marche toujours pas.
Merci d'avoir essayer de m'aider ou avait tu autre chose en tête en me posant la question:

credenhill a écrit :

hello
et plutôt que des sudo dans le script, est-ce que sudo script fonctionne ?


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#9 Le 03/05/2012, à 15:08

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

voir si ca faisait une différence
le script est exécuté dans un terminal? des messafges d'erreur ?
isoler la ligne qui marche pas en debugant avec set -x en 2ème ligne du script

Hors ligne

#10 Le 03/05/2012, à 15:18

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

J'ai placer le script dans /usr/local/bin et enlever les sudo dedans et placer le set -x j'ai ca comme sortie:

+ iptables -F
+ iptables -X
+ iptables -P INPUT DROP
+ iptables -P OUTPUT DROP
+ iptables -P FORWARD DROP
+ iptables -A INPUT -p tcp --in-interface lo --destination 127.0.1.1 -m state --state NEW -m multiport --dport 80,433 -j ACCEPT
+ iptables -A INPUT -p tcp --in-interface lo --destination 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --dport 80,433 -j ACCEPT
+ iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1 -m state --state NEW -m multiport --sport 80,443 -j ACCEPT
+ iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --sport 80,443 -j ACCEPT

Sinon si je place mon script dans mon dossier /home qui est définis avec dans la variable PATH, je ne pas peut l'éxecuter avec sudo:

sudo: Site_Firewall.sh: command not found

Et si je le lance sans sudo j'ai plusieurs ligne comme ca:

iptables v1.4.10: can't initialize iptables table `filter': Permission denied (you must be root)

Je pense que ma syntaxe est correcte mais je ne comprend pas que je ne puisse pas mettre d'option dans le premier -j ACCEPT d'ailleurs si je laisse mon navigateur sur 127.0.1.1 et que je reclicke dans la barre d'URL il n'y  a pas de soucis par contre si je vide le cache je ne peut plus me connecter sur 127.0.1.1 (sa tourne en boucle infinis) ou si je démarre une nouvelle instance du navigateur. Donc le problème est forcément dans le --state NEW et ne crois pas que j'ai pas essayer ca:

iptables -A INPUT -p tcp --in-interface lo --destination 127.0.1.1 -m state --state NEW,ESTABLISHED,RELATED -m multiport --dport 80,433 -j ACCEPT

et enlever la ligne du dessus mais ca ne marche pas non plus.

Dernière modification par ubuntuforce (Le 03/05/2012, à 15:24)


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#11 Le 03/05/2012, à 15:27

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

le PATH dans sudo n'est pas ton PATH, essayer

sudo  ./Site_Firewall.sh
# ou
sudo /home/NOM/Site_Firewall.sh

Hors ligne

#12 Le 03/05/2012, à 15:36

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

J'ai essayer les deux ca ne marche pas:

 sudo ./Site_Firewall.sh
sudo: ./Site_Firewall.sh: command not found

ou:

 sudo /home/nom/Site_Firewall.sh
sudo: /home/nom/Site_Firewall.sh: command not found

Peut tu m'expliquer ce que tu pense qui va pas en me faisant exécuter avec sudo ?


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#13 Le 03/05/2012, à 15:41

credenhill

Re : Script iptables ne fonctionne pas [résolu]?

et ca ?

sudo  ls -l Site_Firewall.sh

Hors ligne

#14 Le 03/05/2012, à 16:05

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

je l'ai rendu exécutable et le:

sudo /home/nom/Site_Firewall.sh

ou:

sudo ./Site_Firewall.sh

marche mais ca ne résoud pas le problème de ne pas appeler iptables sans sudo: le navigateur tourne toujours en boucle.


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

#15 Le 04/05/2012, à 06:01

ubuntuforce

Re : Script iptables ne fonctionne pas [résolu]?

J'ai réussi a trouver un compromis en ajoutant une règle:

sudo iptables -A FORWARD -m multiport --ports.80,443 -j ACCEPT

Ce qui me permet de n'accepter plus que les connexion sur les deux ports, ce qui est quand même mieux que d'accepter toutes les connexions sur tous les ports.
Je n'arrive pas a préciser l'interface ni la source|destination dans les INPUT & OUTPUT mai les ports oui et ca marche: ca ne tourne plus en boucle infinis.
PS: Excusez l'erreur de numéro de port https 433 qui est en faite 443.
Merci a credenhill d'avoir essayer de m'aider et tant pis pour ceux qui n'ont rien dit.
J'étais au bord de la dépression et ca va mieux.


Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne