Pages : 1
#1 Le 11/10/2012, à 19:21
- Ewen56
iptables et ubuntu 12.04
Bonjour à tous,
Depuis quelques années j'utilisais un script de configuration d'iptables qui fonctionnait sans problème avec les versions 64 bits d'ubuntu 10.04, 10.10, 11.04 et 11.10, mais depuis mon passage sous la 12.04.1 LTS (64 bits toujours) pas moyen d'accéder à internet avec ce script...
J'ai donc réduit le script utilisé au minimum pour essai mais sans résultat jusqu'ici :
sudo /sbin/iptables -F
sudo /sbin/iptables -X
#On bloque tout par défaut
sudo /sbin/iptables -t filter -P INPUT DROP
sudo /sbin/iptables -t filter -P FORWARD DROP
sudo /sbin/iptables -t filter -P OUTPUT DROP
#trafic web
#HTTP
sudo /sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTPS
sudo /sbin/iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#DNS
sudo /sbin/iptables -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
Ce code marchait très bien sur les versions antérieures d'ubuntu, mais plus sur la 12.04. Et je ne comprends pas pourquoi jusqu'ici.
Si je passe INPUT et OUTPUT en ACCEPT par défaut la connexion marche normalement (mais ce n'est pas ce que je recherche).
Si quelqu'un peut éclairer ma lanterne?
Précisions éventuellement utiles :
Je suis connecté à une box en filaire et la connexion semble bien être eth0.
Carte mère / réseau éthernet : Asus P8P67 Pro B3 rev 3.1
1 seul PC connecté (station de travail, pas en serveur)
Hors ligne
#2 Le 11/10/2012, à 19:50
- creamy
Re : iptables et ubuntu 12.04
Ça serait pas un souci de boucle locale ?
Tu l'as peut-être viré de ton script afin de clarifier. À toutes fins utiles :
sudo /sbin/iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
sudo /sbin/iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
Le secret de l'action, c'est de commencer : http://www.le-message.org
Hors ligne
#3 Le 11/10/2012, à 19:54
- creamy
Re : iptables et ubuntu 12.04
Ah euh, les règles par défaut…
sudo /sbin/iptables -F
sudo /sbin/iptables -t nat -F
sudo /sbin/iptables -t mangle -F
sudo /sbin/iptables -X
sudo /sbin/iptables -t nat -X
sudo /sbin/iptables -t mangle -X
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
Je suis connecté à une box en filaire et la connexion semble bien être eth0.
Es-tu en DHCP ?
Dernière modification par creamy (Le 11/10/2012, à 19:56)
Le secret de l'action, c'est de commencer : http://www.le-message.org
Hors ligne
#4 Le 11/10/2012, à 21:48
- Ewen56
Re : iptables et ubuntu 12.04
Bonjour (soir) creamy,
Pour répondre à la dernière question, oui je suis en DHCP.
Et pour la remarque sur la boucle locale, non je n'avais pas testé... j'essaie ça dès que possible (probablement lundi car pas la main sur le pc en question avant...), et je reviens donner le résultat.
Si ça marche tant mieux, mais ce que je ne m'explique pas c'est pourquoi les versions antérieures à la 12.04 ne posaient pas de problème sans boucle locale ...
En tout cas merci pour le conseil...
(Au fait, question peut être de débutant, firefox ou la mise à jour logicielle - utilisés pour mes tests d'accès web - ont-ils vraiment besoin de la boucle locale pour s'exécuter?)
Dernière modification par Ewen56 (Le 11/10/2012, à 22:04)
Hors ligne
#5 Le 11/10/2012, à 22:45
- xavier4811
Re : iptables et ubuntu 12.04
Le plus simple reste encore de savoir exactement ce qui est jeté.
iptables -t filter -A INPUT -j LOG --log-prefix="DROP_IN"
iptables -t filter -A OUTPUT -j LOG --log-prefix="DROP_OUT"
tail -f /var/log/syslog ## affichage en temps réel
grep "DROP_" /var/log/syslog ## affichage simple.
Attention les 2 règles iptables doivent être les dernières pour être évaluées juste avant le DROP.
Hors ligne
#6 Le 11/10/2012, à 23:15
- Ewen56
Re : iptables et ubuntu 12.04
Merci pour la remarque, ce serait en effet mieux de connaître ce qui est rejeté dans le détail.
Je teste ça dès que possible (lundi au plus tard).
Hors ligne
#7 Le 12/10/2012, à 14:55
- Ewen56
Re : iptables et ubuntu 12.04
(Re) bonjour,
J'ai finalement testé sur un PC que j'avais sous la main avec un livecd i386 de la 12.04.1.
Même problème avec mon script (donc a priori pas lié au matériel).
En rajoutant la boucle locale, comme suggéré par Creamy, là ça marche sans problème...
Donc merci à tous les deux de votre aide.
Je retesterai sur le PC dont je parlais au début.
Ce qui m'étonne tout de même c'est que mon script marchait sans encombre avec les anciennes moutures d'Ubuntu.
Enfin l'essentiel c'est que celà marche! (si quelqu'un peut éventuellement indiquer ce qui a changé entre la 12.04 et les versions précédentes?)
Hors ligne
#8 Le 12/10/2012, à 21:21
- kypton68
Re : iptables et ubuntu 12.04
salut ...
1 - )creamy parle de la boucle locale .. as tu ajouté :
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
2 - )essais en remplacant --state NEW,ESTABLISHED par --state NEW,ESTABLISHED,RELATED
3 - ) la règle FORWARD est toujours à drop essais avec un FORWARD en ACCEPT par default ... si ça fonctionne on affinera le script.
@ ++
Dernière modification par kypton68 (Le 12/10/2012, à 21:24)
Hors ligne
#9 Le 12/10/2012, à 23:12
- xavier4811
Re : iptables et ubuntu 12.04
@ kypton68
tu te complique la vie pour rien la.
RELATED fait référence a des connexions particulières, comme FTP par exemple.
Le client se connecte et envoie les commandes sur le port 21 mais le serveur fait passer les datas par un port non initié par le client. l'état des paquets data est alors RELATED (relatif a la 1ère connexion en gros)
La règle FORWARD sert... a transférer comme son nom l'indique. Elle est mise en oeuvre si la machine sert de passerelle avec 2 cartes réseau et un lan derrière elle (même virtuel). Sinon FORWARD ne sert a rien pour un pc seul.
Hors ligne
#10 Le 14/10/2012, à 00:41
- kypton68
Re : iptables et ubuntu 12.04
@ kypton68
tu te complique la vie pour rien la.RELATED fait référence a des connexions particulières, comme FTP par exemple.
Le client se connecte et envoie les commandes sur le port 21 mais le serveur fait passer les datas par un port non initié par le client. l'état des paquets data est alors RELATED (relatif a la 1ère connexion en gros)La règle FORWARD sert... a transférer comme son nom l'indique. Elle est mise en oeuvre si la machine sert de passerelle avec 2 cartes réseau et un lan derrière elle (même virtuel). Sinon FORWARD ne sert a rien pour un pc seul.
Tu as complétement raison.
Je pense plus que le ACCEPT sur LOCAL peut être son problème mais je balaye large, les symptômes sont pas clairs.
Les RELATED et FORWARD sont mis en position 2 et 3 si le ACCEPT sur lo ne fonctionne pas ( peut être qu'il parle d'un script sur une passerelle et non son poste de travail ..auquel cas il doit faire un MASQUERADE avec iptables et un forward accept dans le sysctl ...) Mes question sont pour avoir une réponse et avancer par étape.
bonne continuation .
Dernière modification par kypton68 (Le 14/10/2012, à 00:47)
Hors ligne
#11 Le 15/10/2012, à 16:51
- hucoer
Re : iptables et ubuntu 12.04
Bonjour a tous,
J'ai aussi un problème avec iptables, avant de passer sous 12.04 mon script marché bien, mais depuis voici ce qu'il m'affiche:
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Ha oui, et voici mon script:
#!/bin/bash
#--Initialisation des connexions:
iptables -F
#--Définitions de connexions:
iptables -P INPUT DROP
#iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#--Autorisations des connexions locales:
iptables -A INPUT -i lo ACCEPT
iptables -A OUTPUT -i lo ACCEPT
#--Autorisation des ports web, ssh, mail, icmp(ping):
#Ports entrant:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -A INPUT -p tcp --dport imap2 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
#Ports sortant:
#iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
#--Autorisation des ports déja connectés:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
S'il vous plaît ne me jeter pas de cailloux si c'est j'ai fait une erreur a la con, je suis nouveau sur le forum et pas bien vieux dans le monde merveilleux d'Ubuntu.
Merci d'avance.
Hors ligne
#12 Le 15/10/2012, à 19:13
- kypton68
Re : iptables et ubuntu 12.04
Bonjour a tous,
J'ai aussi un problème avec iptables, avant de passer sous 12.04 mon script marché bien, mais depuis voici ce qu'il m'affiche:
Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information.
Ha oui, et voici mon script:
#!/bin/bash #--Initialisation des connexions: iptables -F #--Définitions de connexions: iptables -P INPUT DROP #iptables -P OUTPUT DROP iptables -P FORWARD DROP #--Autorisations des connexions locales: iptables -A INPUT -i lo ACCEPT iptables -A OUTPUT -i lo ACCEPT #--Autorisation des ports web, ssh, mail, icmp(ping): #Ports entrant: iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p tcp --dport www -j ACCEPT iptables -A INPUT -p tcp --dport imap2 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT #Ports sortant: #iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT #iptables -A OUTPUT -p tcp --dport www -j ACCEPT #iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT #iptables -A OUTPUT -p icmp -j ACCEPT #--Autorisation des ports déja connectés: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
S'il vous plaît ne me jeter pas de cailloux si c'est j'ai fait une erreur a la con, je suis nouveau sur le forum et pas bien vieux dans le monde merveilleux d'Ubuntu.
Merci d'avance.
Sur lo l'interface de sortie ( OUTPUT ) -o a la place de -i;
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Dernière modification par kypton68 (Le 15/10/2012, à 19:15)
Hors ligne
#13 Le 15/10/2012, à 22:53
- hucoer
Re : iptables et ubuntu 12.04
Merci kypton68, mais je vient d'essayer et il y toujours la même erreur.
De plus, après lancement du script, je n'ai plus accès a internet, même après un iptables -F, obligé de redémarré (par ce que je ne vois pas comment faire autrement!)
Hors ligne
#14 Le 15/10/2012, à 23:10
- xavier4811
Re : iptables et ubuntu 12.04
#!/bin/bash
#--Initialisation des connexions:
iptables -F
iptables -X
#--Définitions de connexions:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#--Autorisations des connexions locales:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#--Autorisation des ports web, ssh, mail, icmp(ping):
#-- Si les serveurs tournent sur ta machine oui
#-- Si c'est un poste client, a effacer (au cas par cas)
#Ports entrant:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -A INPUT -p tcp --dport imap2 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
#Ports sortant:
#iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#iptables -A OUTPUT -p tcp --dport imap2 -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
#--Autorisation des ports déja connectés:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#-- Si c est pas un serveur,
#-- 1 - tu te complique la vie
#-- 2 - elles font comment pour sortir tes connexions avec le # ?
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dernière modification par xavier4811 (Le 15/10/2012, à 23:11)
Hors ligne
#15 Le 16/10/2012, à 21:56
- Ewen56
Re : iptables et ubuntu 12.04
Bonjour à tous,
Bon, avec une journée de retard, j'ai pu testé sur mon PC concerné et le script iptables fonctionne correctement si j'ajoute la boucle locale.
Je laisse le sujet ouvert pour le moment concernant le problème de hucoer.
Le script de test en question (si ça peut servir à quelqu'un) :
#Réinitialisation
sudo /sbin/iptables -F
sudo /sbin/iptables -t nat -F
sudo /sbin/iptables -t mangle -F
sudo /sbin/iptables -X
sudo /sbin/iptables -t nat -X
sudo /sbin/iptables -t mangle -X
# On bloque tout par défaut
sudo /sbin/iptables -t filter -P INPUT DROP
sudo /sbin/iptables -t filter -P FORWARD DROP
sudo /sbin/iptables -t filter -P OUTPUT DROP
#trafic web
#HTTP
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTPS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#DNS
sudo /sbin/iptables -t filter -A INPUT -i eth0 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -o eth0 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#boucle locale
sudo /sbin/iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
sudo /sbin/iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -m state ! --state INVALID -j ACCEPT
exit 0
Sinon, concernant la manip préconisée par xavier4811, en l'absence de la boucle locale j'obtiens des message de ce genre (tentative de MAJ d'ubuntu via Update-manager) :
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=58036 DPT=53 LEN=52
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=34501 DPT=53 LEN=47
Ou
[...]
Oct 15 10:53:52 *****-System-Product-Name AptDaemon.Worker: INFO: Finished transaction /org/debian/apt/transaction/*************
Oct 15 10:54:10 *****-System-Product-Name NetworkManager[829]: <info> (eth0): carrier now OFF (device state 100, deferring action for 4 seconds)
Oct 15 10:54:10 *****-System-Product-Name kernel: [ *******] e1000e: eth0 NIC Link is Down
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): device state change: activated -> unavailable (reason 'carrier-changed') [100 20 40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): deactivating device (reason 'carrier-changed') [40]
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): canceled DHCP transaction, DHCP client pid 2140
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for ****::*******:****:**** on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv6 with address ****::*******:****:****
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv6 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] ADDRCONF(NETDEV_UP): eth0: link is not ready
Oct 15 10:54:14 *****-System-Product-Name kernel: [ *******] DROP_OUTIN= OUT=eth0 SRC=192.168.1.12 DST=224.0.0.251 LEN=190 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 SPT=5353 LEN=170
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Withdrawing address record for 192.168.1.12 on eth0.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Leaving mDNS multicast group on interface eth0.IPv4 with address 192.168.1.12.
Oct 15 10:54:14 *****-System-Product-Name avahi-daemon[837]: Interface eth0.IPv4 no longer relevant for mDNS.
Oct 15 10:54:14 *****-System-Product-Name dnsmasq[2215]: exiting on receipt of SIGTERM
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> DNS: starting dnsmasq...
Oct 15 10:54:14 *****-System-Product-Name NetworkManager[829]: <info> (eth0): writing resolv.conf to /sbin/resolvconf
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=41286 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=42553 DPT=53 LEN=42
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=35375 DPT=53 LEN=47
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=8749 DF PROTO=UDP SPT=51287 DPT=53 LEN=47
[...]
Celà évoque-t-il quelquechose à quelqu'un?
Sinon un grand merci à tous ceux qui m'ont aidé
Ewen
Hors ligne
#16 Le 16/10/2012, à 22:12
- xavier4811
Re : iptables et ubuntu 12.04
Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=58036 DPT=53 LEN=52 Oct 15 10:59:49 *****-System-Product-Name kernel: [ ******] DROP_OUTIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=26860 DF PROTO=UDP SPT=34501 DPT=53 LEN=47
Celà évoque-t-il quelquechose à quelqu'un?
DROP_OUT : le préfixe ajouté dans la commande, ici paquet sortant
IN= interface d'entrée (quand il y a)
OUT= interface de sortie (quand il y a, ici lo)
SRC=127.0.0.1 adresse IP source
DST=127.0.0.1 adresse IP de destination
LEN TOS PREC TTL ID DF pas très important avant de maîtriser beaucoup plus le sujet.
PROTO= protocole tcp|udp|icmp
SPT port source, celui de l'interface qui envoie la trame
DPT port de destination sur l'interface qui doit recevoir la trame
Hors ligne
#17 Le 16/10/2012, à 22:18
- Ewen56
Re : iptables et ubuntu 12.04
Ok merci!
Je vois que tu maîtrise ton sujet xavier4811.
Une idée, avec les infos données, sur le pourquoi les anciennes distro acceptaient mon script sans boucle locale et pas la 12.04?
Ewen
Hors ligne
#18 Le 16/10/2012, à 22:26
- xavier4811
Re : iptables et ubuntu 12.04
Pas du tout, ça parait pas logique. De toute façon je ne l'ai jamais constaté, j'ai toujours commencé par la boucle lo dans mes scripts, pour être sur de ne pas l'oublier.
Hors ligne
#19 Le 16/10/2012, à 22:34
- Ewen56
Re : iptables et ubuntu 12.04
Bon tant pis.
Encore merci pour les infos et le coût de main, c'est sympa.
L'essentiel est que cela marche maintenant.
(en précision,
mon installation Ubuntu 12.04 est neuve, id est formatage du disque dur et réinstallation à partir d'un livecd 12.04.1 LTS 64 bits, pas de configuration particulière en dehors de l'installation standard si ce n'est le script iptables en question.
Éventuellement des restrictions sur la box pouvant expliquer cela? Mais ces mêmes restrictions ne posaient pas problème avant...)
Si hucoer peut nous dire si son problème persiste ou non, auquel cas je mettrai le sujet en résolu.
Ewen
Hors ligne
#20 Le 17/10/2012, à 06:21
- hucoer
Re : iptables et ubuntu 12.04
Mon problème continue toujours,
En réponse a xavier4811, j'ai laissé les # sur le OUTPUT pour ne bloqué que les entrées, je ne suis pas en serveur je fais ça pour apprendre. Pour info j'ai suivi le tuto du Zite du Zero (a qui je dit merci au passage).
Précision, j'ai le même problème sur mon ordi portable ASUS et sur un PC de bureau HP.
Sur le portable, installation 12.04 depuis un live CD avec importation du /home après sauvegarde, et sur le HP installation de 12.04 suivant MaJ ubuntu.
Petite question, est ce vraiment utile un par-feu sur un ordi non serveur, j'ai déjà eu plusieurs tentative de connections a distance par des inconnus, et ma maman m'a toujours dit de ne pas ouvrir au inconnus ; )
Hors ligne
#21 Le 17/10/2012, à 14:05
- xavier4811
Re : iptables et ubuntu 12.04
Tu a essayé avec les corrections du post #14 ?
Tu peut poster le message d'erreur s'il y en a un
S'il n'y en a pas utilise les commandes
iptables -t filter -A INPUT -j LOG --log-prefix="DROP_IN "
iptables -t filter -A OUTPUT -j LOG --log-prefix="DROP_OUT "
sudo iptables -L -vn
tail -f /var/log/syslog
pour voir ce qui bloque. Tente quelques connexions et poste le retour
Hors ligne
#22 Le 21/10/2012, à 10:21
- hucoer
Re : iptables et ubuntu 12.04
Me revoila,
J'ai essayé de rentré les commande de mon script une par une jusqu’à avoir cette erreur:
sudo iptables -A -i ACCEPT
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Ensuite j'ai poursuivi sans rencontrer de problème, je ne me suis occupé seulement des INPUT.
Seulement voila, suite aux commandes, plus aucune connections possible.
Voici le résultat de : sudo iptables -L -vn
Chain INPUT (policy DROP 37 packets, 2120 bytes)
pkts bytes target prot opt in out source destination
2 88 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 37 packets, 2120 bytes)
pkts bytes target prot opt in out source destination
Hors ligne
#23 Le 21/10/2012, à 10:28
- xavier4811
Re : iptables et ubuntu 12.04
C'est pas un i(I) avant ACCEPT, c'est un j(J)
Hors ligne
#24 Le 21/10/2012, à 14:25
- hucoer
Re : iptables et ubuntu 12.04
Même erreur avec un "j" a la place du "i"
Hors ligne
#25 Le 21/10/2012, à 15:00
- xavier4811
Re : iptables et ubuntu 12.04
sudo iptables {-A|--append|-I|--insert} {INPUT|OUTPUT|FORWARD} [-v|--verbose] [{-i|--in-interface|-o|--out-interface} {interface}] [{-p|--protocol} {tcp|udp|icmp}] [{-s|--source|-d|--destination} {address}] {-j|--jump} {ACCEPT|DROP|REJECT|RETURN}
Si tu demande un {append|insert} mais sans préciser si c'est dans la chaine INPUT,OUTPUT ou FORWARD c'est normal que tu reçoive cette réponse.
Ce qui est entre { } est obligatoire
Ce qui est entre [ ] facultatif si tout est omis, si la première partie existe, la deuxième est obligatoire et vice versa.
exemple si la commande contient --protocol, il faut préciser tcp, udp ou icmp
Les 2 formes sont equivalentes
forme courte -j | forme longue --jump
Hors ligne
Pages : 1