Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 06/03/2014, à 13:47

arcifere

[RESOLU]IPTABLES: Pas de traffic WEB

Bonjour,

Je pensais sécuriser un serveur dédié (Ubuntu Precise Serveur - 64 bits) que j'ai loué dernièrement. Ce serveur n'héberge que quelques applications personnelles qui ne font que des requêtes HTTP/HTTPS. J'y accède par SSH (Console & Nautilus pour transfert fichiers)

J'ai donc suivi la documentation sur IPTABLES: http://doc.ubuntu-fr.org/iptables

Version iptables v1.4.12

J'ai défini les régles suivantes:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     icmp --  anywhere             anywhere             ctstate NEW,RELATED,ESTABLISHED         

Mais dès que j'applique la commande iptables -P INPUT DROP, mes applications ne fonctionnent plus. Elles n'accèdent plus à Internet.
La connexion ssh est maintenue (heureusement). Pour que cela re-fonctionne, je dois repositionner INPUT à ACCEPT.

J'ai testé aussi sur mon poste local (Ubuntu Precise 32 Bits , iptables v1.4.12) les mêmes règles et également, je n'ai plus d'accès Web dès que je positionne INPUT à DROP.

Puisque j'autorise l'accès WEB (http/https) en INPUT/OUTPUT, je ne comprends pas pourquoi il est bloqué. Est ce que quelqu'un aurait une idée?

Merci d'avance.



Edit:

Si j'ajoute avec la commande: iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
çà fonctionne.

Par contre, je ne suis pas certain de bien comprendre cette règle. Elle autorise les connexions déjà établies? C'est à dire que si mon ordinateur est infecté par une saloperie et qu'une connexion non désirée est établie vers l'extérieur, elle sera acceptée avec cette règle????

Dernière modification par arcifere (Le 08/03/2014, à 09:09)

Hors ligne

#2 Le 06/03/2014, à 22:14

tiramiseb

Re : [RESOLU]IPTABLES: Pas de traffic WEB

Salut,

je ne suis pas certain de bien comprendre cette règle. Elle autorise les connexions déjà établies?

Elle autorise les paquets provenant de connexions déjà établies. Par exemple, si tu autorises les requêtes entrantes vers le port 80, ça autorisera automatiquement les réponses sortantes, provenant de ce port 80.


Mais pourquoi te compliquer la vie avec iptables ? Pourquoi n'utilises-tu pas ufw ?

Hors ligne

#3 Le 07/03/2014, à 13:34

arcifere

Re : [RESOLU]IPTABLES: Pas de traffic WEB

Merci pour ce détail. Je comprends mieux pour le coup. smile

Oui, je regarderai pour ufw plus tard qui a l'air plus pratique.

Hors ligne