Pages : 1
#1 Le 23/02/2016, à 20:39
- bartabbas
Config chaine OUTPUT Iptables pour transmission-daemon
Bonjour,
J'ai un problème avec ma config Iptables sur mon serveur; j'ai des soucis avec le port 51413 que je n'arrive pas à ouvrir en sortie pour transmission-daemon :
Voila mon fichier config Iptables :
cat /etc/init.d/firewall
#!/bin/sh
#
# Simple Firewall configuration.
#
# Author: Nicolargo
#
# chkconfig: 2345 9 91
# description: Activates/Deactivates the firewall at boot time
#
### BEGIN INIT INFO
# Provides: firewall.sh
# Required-Start: $syslog $network
# Required-Stop: $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall daemon at boot time
# Description: Custom Firewall scrip.
### END INIT INFO
PATH=/bin:/sbin:/usr/bin:/usr/sbin
if ! [ -x /sbin/iptables ]; then
exit 0
fi
##########################
# Start the Firewall rules
##########################
fw_start () {
# Réinitialise les règles
iptables -t filter -F
iptables -t filter -X
# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Autorise les connexions déjà établies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# relance fail2ban si installe
if [ -x /usr/bin/fail2ban-server ]; then
service fail2ban restart
fi
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT # Attention, si vous avez changé le port SSH dans le fichier /etc/ssh/sshd_config, indiquez le à la place de 22
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT
# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# HTTP Caldav
iptables -t filter -A OUTPUT -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8008 -j ACCEPT
# HTTPS
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
# HTTPS Caldav
iptables -t filter -A OUTPUT -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
# FTP
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
# TRANSMISSION DAEMON
iptables -t filter -A OUTPUT -p tcp --dport 9091 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 9091 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 51413 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51413 -j ACCEPT
iptables -t filter -A OUTPUT -m owner --gid-owner debian-transmission -j ACCEPT # transmission
# Mail SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# Anti Flood / Deni de service / scan de port
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# All other connections are registered in syslog
/sbin/iptables -A OUTPUT -j LOG
/sbin/iptables -A OUTPUT -j REJECT
/sbin/iptables -P OUTPUT DROP
# Other network protections
# (some will only work with some kernel versions)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
}
##########################
# Stop the Firewall rules
##########################
fw_stop () {
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
}
##########################
# Clear the Firewall rules
##########################
fw_clear () {
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
# relance fail2ban si installe
if [ -x /usr/bin/fail2ban-server ]; then
service fail2ban restart
fi
}
##########################
# Test the Firewall rules
##########################
fw_save () {
/sbin/iptables-save > /etc/iptables.backup
}
fw_restore () {
if [ -e /etc/iptables.backup ]; then
/sbin/iptables-restore < /etc/iptables.backup
fi
}
fw_test () {
fw_save
sleep 30 && echo "Restore previous Firewall rules..." && fw_restore
fw_stop
fw_start
}
##########################
# Get the Firewall status
##########################
fw_status () {
iptables -L --line-numbers
}
case "$1" in
start|restart)
echo -n "Starting firewall.."
fw_stop
fw_start
echo "done."
;;
stop)
echo -n "Stopping firewall.."
fw_stop
echo "done."
;;
clear)
echo -n "Clearing firewall rules.."
fw_clear
echo "done."
;;
test)
echo -n "Test Firewall rules...\n"
echo -n "Previous configuration will be restored in 30 seconds\n"
fw_test
;;
status)
echo -n "Firewall status :\n"
fw_status
echo "done."
;;
*)
echo "Usage: $0 {start|stop|restart|clear|test|status}"
echo "Be aware that stop drop all incoming/outgoing traffic !!!"
exit 1
;;
esac
exit 0et le résultat :
service firewall status
Firewall status :
Chain INPUT (policy DROP)
num target prot opt source destination
1 fail2ban-recidive tcp -- anywhere anywhere
2 fail2ban-vsftpd tcp -- anywhere anywhere multiport dports ftp,ftp-data,ftps,ftps-data
3 fail2ban-ssh tcp -- anywhere anywhere multiport dports 2222
4 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
5 ACCEPT all -- anywhere anywhere
6 ACCEPT icmp -- anywhere anywhere
7 ACCEPT tcp -- anywhere anywhere tcp dpt:2222
8 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
9 ACCEPT udp -- anywhere anywhere udp dpt:domain
10 ACCEPT tcp -- anywhere anywhere tcp dpt:http
11 ACCEPT tcp -- anywhere anywhere tcp dpt:8008
12 ACCEPT tcp -- anywhere anywhere tcp dpt:https
13 ACCEPT tcp -- anywhere anywhere tcp dpt:8443
14 ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
15 ACCEPT tcp -- anywhere anywhere tcp dpt:9091
16 ACCEPT tcp -- anywhere anywhere tcp dpt:51413
17 ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
18 ACCEPT tcp -- anywhere anywhere tcp dpt:submission
19 ACCEPT tcp -- anywhere anywhere tcp dpt:urd
20 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
21 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
22 ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
23 ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
2 ACCEPT udp -- anywhere anywhere limit: avg 1/sec burst 5
3 ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
4 ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT all -- anywhere anywhere
3 ACCEPT icmp -- anywhere anywhere
4 ACCEPT tcp -- anywhere anywhere tcp dpt:2222
5 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
6 ACCEPT udp -- anywhere anywhere udp dpt:domain
7 ACCEPT udp -- anywhere anywhere udp dpt:ntp
8 ACCEPT tcp -- anywhere anywhere tcp dpt:http
9 ACCEPT tcp -- anywhere anywhere tcp dpt:8008
10 ACCEPT tcp -- anywhere anywhere tcp dpt:https
11 ACCEPT tcp -- anywhere anywhere tcp dpt:8008
12 ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
13 ACCEPT tcp -- anywhere anywhere tcp dpt:9091
14 ACCEPT tcp -- anywhere anywhere tcp dpt:51413
15 ACCEPT all -- anywhere anywhere owner GID match debian-transmission
16 ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
17 ACCEPT tcp -- anywhere anywhere tcp dpt:submission
18 ACCEPT tcp -- anywhere anywhere tcp dpt:urd
19 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
20 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
21 ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
22 ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
23 LOG all -- anywhere anywhere LOG level warning
24 REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain fail2ban-recidive (1 references)
num target prot opt source destination
1 RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
num target prot opt source destination
1 RETURN all -- anywhere anywhere
Chain fail2ban-vsftpd (1 references)
num target prot opt source destination
1 RETURN all -- anywhere anywhere
done.Si quelqu'un peut m'aider, le port 51413 reste bloqué en TCP...
Merci d'avance !
Dernière modification par bartabbas (Le 24/02/2016, à 17:09)
Hors ligne
#2 Le 24/02/2016, à 09:45
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
Salut, de mémoire, transmission c'est vraiment la plaie, car ouvrir seulement le port que l'on veut pour ce logiciel ne suffit pas, il fallait ouvrir autre chose, mais je ne sais plus ce que c'est. Je sais juste que quand je voulais l'utiliser je laisser ma Policy de OUTPUT en ACCEPT le temps de l'utiliser, et une fois fini je la repassai en DROP, et ça marchait très bien comme ça, fait l'essaie ça va passer sans problème.
Après faudrait analyser avec Netstat ou autre je ne sais pas, ce qui se passe via ton réseau et découvrir qu'est-ce qu'il faut autoriser en plus pour ne pas avoir à faire cette manip DROP et ACCEPT sur OUTPUT, mais comme je te dis, je ne me souviens plus ce que c'est.
@ plus.
Hors ligne
#3 Le 24/02/2016, à 11:58
- jean-luc5629
Re : Config chaine OUTPUT Iptables pour transmission-daemon
Salut, de mémoire, transmission c'est vraiment la plaie, car ouvrir seulement le port que l'on veut pour ce logiciel ne suffit pas, il fallait ouvrir autre chose, mais je ne sais plus ce que c'est.
@ plus.
Salut;
Transmission, comme tous les autres clients torrents manageables à distance (rtorrent, deluge,..) ont un port destiné aux connexions torrent (ex 51413 dans ce cas ci) + un port destiné au rpc (justement pour l'accès à distance : 9091 pour transmission par défaut); d'ailleurs ce port si on dispose d'un serveur web (ce qui est fréquent sur un serveur), il vaut mieux le mettre en écoute locale et de faire un reverse-proxy , comme ça tout passe par le serveur web, et ça réduit le nombre de ports en écoute sur le serveur.
Dernière modification par jean-luc5629 (Le 24/02/2016, à 12:00)
Hors ligne
#4 Le 24/02/2016, à 12:43
- bartabbas
Re : Config chaine OUTPUT Iptables pour transmission-daemon
Merci pour les réponses;
Le port 9091 est bien ouvert de son coté pas de pb de connexion au démon pour l’administration.
OK pour le passage en policy ACCEPT, mais dans ce cas autant pas mettre de pare-feu 
.
La commande netstat m'indique que le port 51413 est ouvert et actif :
netstat -ta | grep "51413"
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:51413 *:* LISTEN
tcp 0 0 bartabbas:47474 bartabbas:51413 TIME_WAIT
tcp 0 0 bartabbas:51413 ***.***.***.***:65311 TIME_WAIT
tcp 0 72186 bartabbas:51413 ***.***.***.***:53581 ESTABLISHED
tcp6 0 0 [::]:51413 [::]:* LISTENMais ca m'empeche pas de recevoir des messages comme quoi ça coince (j'ai taillé dans le lard et laissé qu'une ligne, mais y'en a VRAIMENT beaucoup)
cat /var/log/messages | grep "51413"
Feb 24 06:33:39 bartabbas kernel: [1537566.523441] IN= OUT=venet0 SRC=<mon adresse IP (masquée)> DST=<adresse IP de destination (masquée)> LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=51413 DPT=64966 WINDOW=0 RES=0x00 RST URGP=0Si quelqu'un a une idée...
Dernière modification par bartabbas (Le 24/02/2016, à 12:47)
Hors ligne
#5 Le 24/02/2016, à 15:22
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
OK pour le passage en policy ACCEPT, mais dans ce cas autant pas mettre de pare-feu
Bah, tu modifies pas INPUT, mais OUTPUT,, (et juste le temps d'utilisation de Transmission), les risques sont ultra-limités à........... À ou plutôt aux, précautions d'installations de logiciels que prend l'administrateur du système d'exploitation et d'où il tire les logiciels qu'il a installé sur la machine que tu utilises avec Transmission. Si tous ces logiciels sont tout le temps mis à jour avec assiduité, et qu'ils proviennent des sources officielles Ubuntu, c'est du gâteau. Mais enfin, contacte-le pour en être rassuré, ils t'expliquera ça mieux que nous.
Hors ligne
#6 Le 24/02/2016, à 15:32
- bartabbas
Re : Config chaine OUTPUT Iptables pour transmission-daemon
OK tu as raison; les risques sont relativement limités, c'est jouable à titre temporaire donc.
Maintenant mon daemon transmission, il tourne longtemps dans la journée 
Si sur le long terme quelqu'un a une solution qui ne m'oblige pas à jouer sur la Policy, je suis preneur !
Dernière modification par bartabbas (Le 24/02/2016, à 15:33)
Hors ligne
#7 Le 24/02/2016, à 16:42
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
Si sur le long terme quelqu'un a une solution qui ne m'oblige pas à jouer sur la Policy, je suis preneur !
Mais il y en a une, ça c'est sûr. J'espère aussi qu'on viendra te la donner, mais enfin, tant que c'est sur OUTPUT, c'est du flux sortant qui est autorisé les temps de cession de Transmission, absolument pas du flux entrant dont tu gardes tous tes filtrages.
Si je peux dire un petit truc ce serait de changer le titre par exemple par quelque chose de plus en rapport avec ton problème dans sa globalité, qui est relativement simple, à savoir tu cherches à paramétrer la chaîne OUTPUT d'Iptables pour autoriser correctement les flux sortant du logiciel Transmission. Un titre adapté fait souvent la différence, cela dit, si tu veux une bonne recette de crêpes Suzette, tu peux tout aussi bien l'adapter Mais va falloirs'attendre à un déplacement de topic par un modérateur, (bon faut bien rire un peu pardon). @ plus !
Dernière modification par robindesbois (Le 24/02/2016, à 16:43)
Hors ligne
#8 Le 24/02/2016, à 17:10
- bartabbas
Re : Config chaine OUTPUT Iptables pour transmission-daemon
et voila:)
Hors ligne
#9 Le 25/02/2016, à 09:07
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
;- )
Une question, hier je suis tombé sur une page qui parlait d'un truc, et ça m'a fait penser à cela :
Qu'est-ce que ça donne si tu démarres Transmission avec une règle POLICY OUTPUT sur ACCEPT, que tu laisses donc libre court à tes fluxs sortant (pour Transmission principalement donc ici), et que une fois démarré, tu recharges ton script (je sais pas moi, quelques minutes plus tard), avec tes règles habituelles, en remettant donc ta POLICY OUTPUT sur DROP stp ??
Ça continue à tourner normalement ou pas ???
Deuxième point qui me vient à l'esprit, je crois que Transmission a besoin de l'ouverture du port UPnP (qui est le port 1900, voir ici : https://www.grc.com/port_1900.htm ), du coup, pas besoin de faire la manip que je viens de décrire au dessus concernant donc les différentes valeurs pour la POLICY OUTPUT, tu n'aurais qu'à inclure dans tes règles Iptables d'OUTPUT, l'autorisation du port 1900, (en laissant donc ta POLICY OUTPUT sur DROP en natif).
Enfin voilà deux pistes qui pourraient peut-être t'aider, passe nous dire si tu as un meilleur résultat sur un ou l'autre stp, merci
Dernière modification par robindesbois (Le 25/02/2016, à 09:09)
Hors ligne
#10 Le 25/02/2016, à 10:03
- pires57
Re : Config chaine OUTPUT Iptables pour transmission-daemon
Installes wireshark, ferme tout tes programmes nécessitant un accès internet (skype, firefox ...), lance la capture dans wireshark et lance ensuite transmission.
Après il te faudra analyser les trames ... tu n'auras pas forcément tout les ports mais avec un peu de chance tu pourras y découvrir une plage ...
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#11 Le 29/02/2016, à 09:26
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
et voila:)
Salut, tu as résolu finalement ? 
Hors ligne
#12 Le 02/03/2016, à 22:52
- bartabbas
Re : Config chaine OUTPUT Iptables pour transmission-daemon
@robindesbois Salut,
Peu de temps pour tester la soluce, je suis en déplacement...
Toujours des erreurs dans var/log/messages même avec policy OUTPUT ACCEPT ; faut que je regarde mieux les règles iptables...
comment ca marche iptables : pour chaque paquet traité il suit les regles de la table 1 par 1 dans l'ordre jusqu'à ce qu'il matche une règle, c'est ca?
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT all -- anywhere anywhere
3 ACCEPT icmp -- anywhere anywhere
4 ACCEPT tcp -- anywhere anywhere tcp dpt:2222
5 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
6 ACCEPT udp -- anywhere anywhere udp dpt:domain
7 ACCEPT udp -- anywhere anywhere udp dpt:ntp
8 ACCEPT tcp -- anywhere anywhere tcp dpt:http
9 ACCEPT tcp -- anywhere anywhere tcp dpt:8008
10 ACCEPT tcp -- anywhere anywhere tcp dpt:https
11 ACCEPT tcp -- anywhere anywhere tcp dpt:8008
12 ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
13 ACCEPT tcp -- anywhere anywhere tcp dpt:9091
14 ACCEPT tcp -- anywhere anywhere tcp dpt:51413
15 ACCEPT all -- anywhere anywhere owner GID match debian-transmission
16 ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
17 ACCEPT tcp -- anywhere anywhere tcp dpt:submission
18 ACCEPT tcp -- anywhere anywhere tcp dpt:urd
19 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
20 ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
21 ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
22 ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
23 LOG all -- anywhere anywhere LOG level warning
24 REJECT all -- anywhere anywhere reject-with icmp-port-unreachableet dans mon cas c'est la règle 23 qui envoie dans le log certains paquets ?
Ou je comprends rien?
@pires57 OK merci pour le conseil
Là aussi je manque de temps; je vais devoir installer tshark et regarder des tutos pour ca (je suis en mode console)
Dernière modification par bartabbas (Le 02/03/2016, à 22:56)
Hors ligne
#13 Le 03/03/2016, à 09:55
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
écoute, si tes règles habituelles (sans vouloir utiliser Transmission j'entends) marchent sans problèmes, alors j'ai l'impression que je t'ai trouvé les règles Iptables pour Transmission (tout en laissant la Policy de ton OUTPUT sur DROP comme tu veux le laisser actuellement), je suis tombé dessus par hasard, il faudra que tu les testes, voir ici dans leur script (tu descends sur la page jusqu'à trouver les règles qu'ils donnent pour Transmission quand la Policy de OUTPUT est sur DROP ), à plus.
https://www.isalo.org/wiki.debian-fr/R% … _bureau%29
Il faudra peut-être que tu autorises de façon permanente ou non, le certificat de sécurité pour voir cette page, mais si ça t'ennuies profondément de faire ça, alors les règles pour transmission qu'ils donnent (avec à la base donc une Policy de OUTPUT sur DROP) sont celles-ci :
iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535 -j ACCEPTDernière modification par robindesbois (Le 03/03/2016, à 09:55)
Hors ligne
#14 Le 03/03/2016, à 20:42
- bartabbas
Re : Config chaine OUTPUT Iptables pour transmission-daemon
merci pour le lien je teste tout ça.
Dernière modification par bartabbas (Le 03/03/2016, à 20:43)
Hors ligne
#15 Le 04/03/2016, à 07:32
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
de rien, à toute...!
Dernière modification par robindesbois (Le 04/03/2016, à 09:20)
Hors ligne
#16 Le 04/03/2016, à 10:29
- pires57
Re : Config chaine OUTPUT Iptables pour transmission-daemon
iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535 -j ACCEPTje doute fortement que transmission ai besoin d'une plage de port aussi étendu, que ce soit en source ou en destination ....
La meilleur solution c'est de cibler les ports nécessaires (avec une analyse de trame donc wireshark (ou équivalent) ) et n'autoriser que ce qui est nécessaire.
Mettre iptables pour ouvrir les 3/4 des ports existant c'est simplement inutile, idem dans le cas ou tu dois désactivé iptables pour faire fonctionner une appli, si tu fais cela c'est que ton firewall est mal configuré.
Si tu doit supprimer la sécurité mise en place pour exécuter un logiciel, c'est que ta sécurité comprends une grosse brèche puisque tu seras obliger de la couper à un moment donnée (même si mon discours sur l'utilité d'un firewall sur un poste de travail n'a pas changé, quand on fait de la sécurité, on va jusqu'au bout, on ne s'arrête pas à la moitié. )
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#17 Le 04/03/2016, à 15:59
- robindesbois
Re : Config chaine OUTPUT Iptables pour transmission-daemon
ptdr!!
Hors ligne