Pages : 1
#1 Le 13/05/2005, à 19:42
- santino
iptables et mon serveur dedié
salut a tous,
voila j'ai un serveur dedié a dod et il marche sans probleme mais je suis en train de configurer iptables et j'ai reussi a ce que sa marche mais des fois je suis en wifi et des fois en lan dc a partir de ce que j'ai trouver, j'ai realiser sa:
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j REJECT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j REJECT
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CUPS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connecter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecter
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
$EXTINF = ath0
$INTINF = ath0
$IPT = /sbin/iptables
$IPT -A INPUT -i $EXTINF-p udp --dport 1200 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp --sport 1200 -j ACCEPT
$IPT -A INPUT -i $EXTINF -p udp --dport 27000:27015 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp 27000:27015 -j ACCEPT
$EXTINF = eth0
$INTINF = eth0
$IPT = /sbin/iptables
$IPT -A INPUT -i $EXTINF-p udp --dport 1200 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp --sport 1200 -j ACCEPT
$IPT -A INPUT -i $EXTINF -p udp --dport 27000:27015 -j ACCEPT
$IPT -A OUTPUT -o $EXTINF -p udp 27000:27015 -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 27030:27039 -j ACCEPT
$IPT -A INPUT -p tcp --dport 27030:27039 -j ACCEPT
je suis derriere une freebox , mes 2 pc en ip fixe et quand je met mon portable en wifi , je voi le serveur depuis mon fixe qui est en usb sur la freebox mais quand je branche les deux pc en rj45 avec un hub, impossible de voir le serveur depuis mon fixe??? dc j'ai essayer de supprimer la pari de ath0 qui ouvre les ports du serveur mais rien?? pour le script d'ouverture des port je l'ai trouver la http://alphacore.net/spip/article.php3?id_article=62 donc je pense que il est bon??
si quelq'un peu m'aider ce serait cool merci
ps: je m'en fou que sa tourne en wifi , je me met en rj45 pour faire tourner le serveur
Hors ligne
#2 Le 31/07/2005, à 17:55
- moaj
Re : iptables et mon serveur dedié
alors, peut-être je me plante mais il me semble bien que iptables fonctionne comme ça :
chaque paquet entrant/sortant/transitant est testé à chaque règle d'iptables une par une et dans l'ordre.
Dès qu'il rencontre une règle d'iptables qui lui correspond, il est traité par elle (le paquet traité par la règle).
DONC toutes les règles placées APRèS "iptables -A INPUT -j REJECT" ne verront jamais passer un paquet entrant : il se sera systématiquement fait jeter par le REJECT.
Mon site préféré sur le sujet : http://lea-linux.org/reseau/secu/iptables.html
bon courage !
Hors ligne
#3 Le 01/08/2005, à 03:00
- jdloic
Re : iptables et mon serveur dedié
Franchement, j'ai pas compris grand chose!
Tu fait tourner le serveur DOD sur un de tes PC?
et tu essayer de te connecter dessus depuis d'autres pc du même lan (sans passer par internet)?
Ta freebox est en routeur?
Hors ligne
Pages : 1