Pages : 1
#1 Le 06/03/2014, à 13:47
- arcifere
[RESOLU]IPTABLES: Pas de traffic WEB
Bonjour,
Je pensais sécuriser un serveur dédié (Ubuntu Precise Serveur - 64 bits) que j'ai loué dernièrement. Ce serveur n'héberge que quelques applications personnelles qui ne font que des requêtes HTTP/HTTPS. J'y accède par SSH (Console & Nautilus pour transfert fichiers)
J'ai donc suivi la documentation sur IPTABLES: http://doc.ubuntu-fr.org/iptables
Version iptables v1.4.12
J'ai défini les régles suivantes:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT icmp -- anywhere anywhere ctstate NEW,RELATED,ESTABLISHED
Mais dès que j'applique la commande iptables -P INPUT DROP, mes applications ne fonctionnent plus. Elles n'accèdent plus à Internet.
La connexion ssh est maintenue (heureusement). Pour que cela re-fonctionne, je dois repositionner INPUT à ACCEPT.
J'ai testé aussi sur mon poste local (Ubuntu Precise 32 Bits , iptables v1.4.12) les mêmes règles et également, je n'ai plus d'accès Web dès que je positionne INPUT à DROP.
Puisque j'autorise l'accès WEB (http/https) en INPUT/OUTPUT, je ne comprends pas pourquoi il est bloqué. Est ce que quelqu'un aurait une idée?
Merci d'avance.
Edit:
Si j'ajoute avec la commande: iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
çà fonctionne.
Par contre, je ne suis pas certain de bien comprendre cette règle. Elle autorise les connexions déjà établies? C'est à dire que si mon ordinateur est infecté par une saloperie et qu'une connexion non désirée est établie vers l'extérieur, elle sera acceptée avec cette règle????
Dernière modification par arcifere (Le 08/03/2014, à 09:09)
Hors ligne
#2 Le 06/03/2014, à 22:14
- tiramiseb
Re : [RESOLU]IPTABLES: Pas de traffic WEB
Salut,
je ne suis pas certain de bien comprendre cette règle. Elle autorise les connexions déjà établies?
Elle autorise les paquets provenant de connexions déjà établies. Par exemple, si tu autorises les requêtes entrantes vers le port 80, ça autorisera automatiquement les réponses sortantes, provenant de ce port 80.
Mais pourquoi te compliquer la vie avec iptables ? Pourquoi n'utilises-tu pas ufw ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 07/03/2014, à 13:34
- arcifere
Re : [RESOLU]IPTABLES: Pas de traffic WEB
Merci pour ce détail. Je comprends mieux pour le coup.
Oui, je regarderai pour ufw plus tard qui a l'air plus pratique.
Hors ligne
Pages : 1