#26 Le 16/05/2014, à 20:39
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
iptables -A OUTPUT -p UDP -m multiport --dport xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx -d XXX.XXX.XXX.XXX -m state --state NEW -o $interfaceWWW -j ACCEPT
Autorise en sortie
protocole udp
pour les ports (xxx1 à xxx8)
à destination de l'ip X.X.X.X
une nouvelle sortie
par l'interfaceWWW.
Donc les autres sorties sont interdites, la policy output serait à drop sans quoi cette règle n'aurait aucun sens.
Si il n'y a rien d'autre, il ne saurait même pas pinger un site pour tester une connexion, sans parler de tcp...
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#27 Le 16/05/2014, à 20:58
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Il faut que ce soit une réponse de Ansuz Brunod. Si on formule des réponses comme celle que tu viens de faire, j'ai l'impression que Ansuz pourrait mal l'interpréter et penser que l'on se fiche de lui, ce n'est clairement pas le but d'un forum d'entraide. aussi, si l'on croit déceler chez lui une manque de compréhension dans ce qu'il fait, il faut le questionner pour savoir où il en est et aussi qu'il nous questionne pour savoir où nous en sommes (ce qui est normal car il a aussi plein de choses à nous apprendre et penser le contraire ne serait pas "sérieux" ici ou dans la vie). Bref, ceci n'est que mon interprétation, ne le prend pas pour toi, moi aussi je m'exprime mal ici tout au long de l'année.
le fait est que j'ai l'impression que Ansuz a appliqué des règles sur son IPtables, qu'il ne maîtrise pas de bout en bout, je suis là, tu es là, nous sommes là, pour réctifier le tir cher lui s'il faut, mais pas avec des messages qui pourraient être blessant, si incompréhension il y a chez lui aujourd'hui (et chez moi aussi car je ne sais pas où il en est exactement avec ses propres règle sIPtables), il faut bien se dire que cette situation, nous l'avons vécu un jour ou l'autre, il faut juste accepter que si l'on ne sait pas tout sur un sujet, quelqu'un d'autre le saura et pourra nous l'enseigner, c'est tout, on fait tous comme ça, et c'est une très bonne démarche qu'est celle de Ansuz, tout autant que la tienne Brunod...
Il faudrait aussi connaître le nom de son fournisseur d'accès à un VPN, pour étudier sur les pages d'aide de ce fournisseur, les subtilités que ce fournisseur attribu à la mise en place de son réseau VPN et ce qu'il demande de faire à ses clients pour qu'ils puissent s'y connecter après avoir payés.
Tout ceci n'est pas encore venu de la part d'Ansuz, donc il est difficile de l'aider pour le moment. A +, bonne soirée à vous...
#28 Le 16/05/2014, à 21:05
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
Il faut que ce soit une réponse de Ansuz Brunod. Si on formule des réponses comme celle que tu viens de faire, j'ai l'impression que Ansuz pourrait mal l'interpréter et penser que l'on se fiche de lui....
Pas du tout, en l'absence d'info, je me borne à essayer de comprendre et extrapoler les possibilités pour réduire l'espace des possibilités sur base des rares éléments qui nous sont disponibles. Il n'y a pas de critique ni de jugement de valeur de ma part; mais simplement un énoncé de faits.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#29 Le 16/05/2014, à 21:18
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Ah merci Brunod, tu vois c'est moi qui interprète mal. Je reprends ta phrase au dessus qui dit :
Si il n'y a rien d'autre, il ne saurait même pas pinger un site pour tester une connexion, sans parler de tcp...
Que veux-tu dire par cette phrase stp ? (dans sa globalité stp? (en incluant quand tu parles de tcp à la fn stp ?) Et qui est représenté par le mot "il" dans la partie de cette phrase qui commence par"...il ne saurait pinger un site......." stp ? Merci brunod.
Dernière modification par -pascal34- (Le 16/05/2014, à 21:19)
#30 Le 16/05/2014, à 21:27
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Sinon on a qu'à dire que lorsque qu'on pose une question à un intervenant dans cette discussion crée par Ansuz, on ne demandera de réponse qu'à la seule personne à qui on demande, ce sera peut-être plus facile à gérer pour tout le monde. Je me mets toujours dans cette situation familiale ou il y a la maman, le papa, le fils de seize ans, et la fille de neuf ans. Lorsque l'on demande ses connaissances et sur un certain sujet à la fille de neuf ans (en ayant bien sûr choisi exprès un sujet que le fils de seize ans maîtrise vraiment très bien !!), on attend à ce que le fils de seize ans se taise, et il sait pourquoi, c'est pour attendre la réponse de sa soeur de neuf ans, pour la féliciter de celle-ci ! Mais aussi s'il peut, pour la compléter !
Bon la morale c'est que lorsqu'on sonde quelqu'un dans le but de le faire progresser, si un autre arrive et donne une partie ou toutes les parties de la réponses, là ça ne sert à rien, c'est foutu, on a fait tout ça pour rien... Laissez-les gens à qui sont adresser les questions répondre du mieux qu'ils peuvent, ça va nous aider déjà, mais va les aider aussi pour après, avec les données que l'on va pouvoir analyser avec eux, et cela va nous permettre de leur transmettre nos connaissances, et ici, avec Liens Internet à l'appuie ou références littéraires vérifiables !
Voilou c'est tout, en tout cas depuis le début moi j'apprécie ta venue, ça me fait penser à plein de trucs auxquels je n'avais pas pensé, et j'apprends aussi avec toi Brunud, donc Merci.
Dernière modification par -pascal34- (Le 16/05/2014, à 21:58)
#31 Le 16/05/2014, à 21:31
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
EDIT : En réponse au post 29
(Tu écris plus vite que je ne réponds )
Si il n'y a rien d'autre [comme règle iptables que la règle udp mentionnée], il [le système sur lequel fonctionne cet iptables] ne saurait même pas pinger [par le protocole icmp] un site pour tester une connexion, sans parler de tcp [qui est le protocole le plus utilisé, pour les transactions internet par exemple, alors que jusque là, dans la règle en question et dans ce que je viens d'en dire, n'ont été considérés que les protocoles udp et icmp]...
Suis-je plus clair ?
Dernière modification par Brunod (Le 16/05/2014, à 21:35)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#32 Le 16/05/2014, à 22:02
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Oui merci Brunod, cela me renseigne tout à fait, je n'arrivai pas à comprendre si tu parlais de Ansuz ou de sa machine par ce "il", merci de cet éclaircissement, c'est très bien de le faire et en même temps nécessaire dans ce type d'explications qui peuvent être interprété de deux façons différentes, donc merci !!!
@ bientôt.
Dernière modification par -pascal34- (Le 16/05/2014, à 22:03)
#33 Le 16/05/2014, à 22:11
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
J'espère que les deux vont de pair : si la machine d'Ansuz se met à pinger sans que ce soit lui qui le demande, il faudra plus qu'un parefeu pour résoudre le problème
Et si Ansuz arrive à pinger sans pc, il faudrait qu'il change son pseudo en Terminaltor
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#34 Le 16/05/2014, à 22:12
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
J'ai compris sa ligne maintenant je t'explique dans le prochain message tout de suite !
#35 Le 16/05/2014, à 22:15
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Mais comme sa politique OUTPUT est DROP, je viens de comprendre que sa ligne là :
iptables -A OUTPUT -p UDP -m multiport --dport xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx -d XXX.XXX.XXX.XXX -m state --state NEW -o $interfaceWWW -j ACCEPT
Elle est là pour protéger son PC au cas où sont VPN tombe, c'est tout, et si tu la lis bien tu vas comprendre tout de suite ! du coup ce n'est pas la seule règle de son IPTables, mais elle est pas mal déjà. Je transmet un autre message dans quelques minutes.
Dernière modification par -pascal34- (Le 16/05/2014, à 22:17)
#36 Le 16/05/2014, à 22:27
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
Excuse-moi, mais ce n'est pas exactement ça :
elle autorise la sortie d'une nouvelle connexion en udp par les port xx1 à xx8 en sortie vers l'ip XX via l'interfaceWWW.
C'est ce que j'ai dit au post 26.
Une autorisation de sortie n'est pas, pour moi, une protection.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#37 Le 16/05/2014, à 22:59
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Pour Ansuz à cette page tu liras l'intérieur du tableau gris en dessous du gros titre appelé : "Correspondances UDP"
En vague dans ce tableau il est expliqué comment réagit la syntaxe sur des ports indiqués comme ceci :
20:80
Cela voudrait dire que tous les ports utilisés dans cette règle iptables (quelle qu'elle soit OUPUT ou INPUT ?), seront les ports en partant du numéro 20,21,22,23.....et allant jusqu'aux ports.....75,76,77,78,79,80.
En pratique ça pourrait odnner une ligen comme ça :
iptables -t filter -A INPUT -p tcp -m multiport --sports 20:80 -j ACCEPT
Tandis que la commande suivante comporte une virgule entre deux numéros de ports :
iptables -t filter -A INPPUT -p tcp -m multiport --sports 7396,36330 -j ACCEPT
Du coup là ce n'est pas une plage de port que l'on indique à IPtables dans cette dernière commande, mais seulement deux ports, le 7396 et le 36330.
J'en reviens à ta commande initiale qui semble ne pas fonctionner. Je la reprends sans l'avoir modifiée, tu nous l'as donnée telle quelle et elle est celle-ci :
iptables -A OUTPUT -p UDP -m multiport --dport xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx -d XXX.XXX.XXX.XXX -m state --state NEW -o $interfaceWWW -j ACCEPT
Voilà celle que j'ai corrigé, il ne lui manquait que la lettre "s" à la commande "--dports" (et j'ai mis des ports et une adresse fictive), ça donne ça :
iptables -A OUTPUT -p UDP -m multiport --dports 1024,2055,3014,258 -d 83.84.25.124 -m state --state NEW -o $interfaceWWW -j ACCEPT
Comme tu le sais, pour entrer ces règles dans IPtables, il faut sudo. Dis-nous si ça a marché ?
Dernière modification par -pascal34- (Le 16/05/2014, à 23:18)
#38 Le 16/05/2014, à 23:01
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Excuse-moi, mais ce n'est pas exactement ça :
elle autorise la sortie d'une nouvelle connexion en udp par les port xx1 à xx8 en sortie vers l'ip XX via l'interfaceWWW.
C'est ce que j'ai dit au post 26.
Une autorisation de sortie n'est pas, pour moi, une protection.
Merci Brunod, il y a une partie que je ne comprends pas trop, ça correspond à quoi "$interfaceWWW" dans sa ligne de commande stp ? A quoi ça sert dans IPtables stp et surtout comment IPtables l’interprète stp ???
Dernière modification par -pascal34- (Le 16/05/2014, à 23:03)
#39 Le 16/05/2014, à 23:13
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
C'est du script.
Il s'agit d'une variable nommée $interfaceWWW, qui est définie précédemment dans le script par une ligne du genre
interfaceWWW="eth0"
Mais comme on n'est certain de rien, ça pourrait être eth1 ou wlan0 pour du wifi.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#40 Le 16/05/2014, à 23:17
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
On est certain de rien car pour l'instant Ansuz n'a pas décider de nous l'indiquer, effectivement ce type de correspondance pourrait m'aider à comprendre ses règles IPtables assez complexes ma fois, mais il doit y avoir une raison, attendons demain qu'il puisse nous guider là dessus. Le "s" qui manquait à --dport dans sa ligne au dessus peut-il avoir faussé la ligne de commande toute entière stp ? et c'est alors pour cela qu'elle ne fonctionnait pas chez lui cet aprem Brunod ?
Dernière modification par -pascal34- (Le 16/05/2014, à 23:20)
#41 Le 16/05/2014, à 23:28
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
Comme je disais sur un autre post, je fatigue un peu; donc je ne suis pas certain d'avoir bien compris son problème. Mais comme mon formateur le répète sans cesse, entrer les règles par la ligne de commande permet de vérifier immédiatement, ligne après ligne, si la syntaxe est correcte. Chipoter dans un fichier, ou un script que l'on ne maîtrise pas pour le balancer dans iptables est dangereux Et si c'est automatisé, le message d'erreur ne sera peut-être même pas vu...
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#42 Le 17/05/2014, à 00:03
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Merci pour ton expérience et aussi ton temps, ça m'a fait avancé, à bientôt sur le fofo.
#43 Le 17/05/2014, à 08:08
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
Je viens de relire après une bonne (mais courte) nuit de sommeil.
Tu écris
Mais comme sa politique OUTPUT est DROP, je viens de comprendre que sa ligne là :
....
Où as-tu lu cela ? Je le suppose que sa policy output est drop, mais ce n'est qu'une supposition car je ne l'ai lu nulle part.
Aucune des policy d'ailleurs.
Et selon qu'elle soit drop ou pas, cela change complètement la donne par rapport à l'efficacité/utilité de cette ligne.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#44 Le 17/05/2014, à 10:17
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Oui pareil, je suppose que OUTPUT soit sur DROP, si ce n'est pas le cas cette ligne ne sert à rien en langage IPtables, mais au final, après relecture, je me rends compte aussi que plein de choses ne vont pas, du coup ça va être difficile d'aider Ansuz, s'il ne peut pas répondre à nos questions, je reste en Standby de mon côté, une fois qu'il aura décidé de répondre à nos questions ça débloquera sa situation, car s'il ne nous explique pas ce qu'il y a chez lui, c'est impossible de le faire avancer, il nous met au point mort, cela met donc sa discussion au point mort, à lui de la faire repartir s'il veut des réponses claires et concises
Bonne journée Brunod et encore merci de tes questions ici, ça m'a fait avancer perso, à plus
#45 Le 17/05/2014, à 13:15
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Ansuz j'ai des choses à apprendre de toi donc n'hésites pas à repasser, merci...
Dernière modification par -pascal34- (Le 17/05/2014, à 13:32)
#46 Le 17/05/2014, à 13:51
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Vous l'aurez compris, les règles que j'ai établies dans mon parefeu fonctionnent, mais uniquement lorsque l'IP et le port concordent...
salut, je n'ai lu que le premier message (flemme de tout lire), j'en déduis que le "OUTPUT est en Drop par défaut" sur la connection interface standard et "OUTUT en ACCEPT par défaut" via interface VPN ? l'objet de la demande concerne en fait la SORTIE Non vpn ? (vpn ou pas aucune différence dans ce cas)
la réponse est simple, tu utilises l'un ou l'autre (port ou ip) , les 2 conjugués vont forcément multiplier le nombre de lignes nécessaires.
si tu choisis autoriser avec ip: (exemple plage adresse youtube à autoriser si le début est 173.194....)
iptables -t filter -A OUTPUT -d 173.194.0.0/16 -j ACCEPT
évidement si la requête se fait avec nom de domaine, il faut aussi que le port 53 soit autorisé en sortie lui aussi (dns)
Dernière modification par wholes (Le 17/05/2014, à 13:53)
#47 Le 17/05/2014, à 14:22
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
J'ai rien compris
#48 Le 17/05/2014, à 15:22
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
moi non plus, non ce qui a à comprendre, c'est que cette règle suffit:
iptables -t filter -A OUTPUT -d xx.xx.0.0/16 -j ACCEPT (xx.xx = ip commençant par) c'est ce que je voulais dire.
si tu met dans la même ligne: protocole, port, ip alors il faut que toute les conditions soient réunies pour que la règle s'applique alors forcément....ça va le faire une fois sur 100....
#49 Le 17/05/2014, à 17:52
- compte supprimé
Re : Iptables, domaine et plage de ports aléatoire
Oui ok. Pour la terminaison 0.0/16 cela correspond à quelle plage d'adresses svp ? De xx.xx.0.0 jusqu'à xx.xx.254.254 svp ??
#50 Le 17/05/2014, à 18:16
- Brunod
Re : Iptables, domaine et plage de ports aléatoire
Oui
Edit : Voila une calculatrice ip pour cela :
http://www.subnet-calculator.com/subnet.php?net_class=B
Dernière modification par Brunod (Le 17/05/2014, à 18:22)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne