Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 23/02/2016, à 20:39

bartabbas

Config chaine OUTPUT Iptables pour transmission-daemon

Bonjour,

J'ai un problème avec ma config Iptables sur mon serveur; j'ai des soucis avec le port 51413 que je n'arrive pas à ouvrir en sortie pour transmission-daemon :
Voila mon fichier config Iptables :

 cat /etc/init.d/firewall

#!/bin/sh
#
# Simple Firewall configuration.
#
# Author:  Nicolargo
#
# chkconfig: 2345 9 91
# description: Activates/Deactivates the firewall at boot time
#
### BEGIN INIT INFO
# Provides:          firewall.sh
# Required-Start:    $syslog $network
# Required-Stop:     $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start firewall daemon at boot time
# Description:       Custom Firewall scrip.
### END INIT INFO

PATH=/bin:/sbin:/usr/bin:/usr/sbin

if ! [ -x /sbin/iptables ]; then
 exit 0
fi


##########################
# Start the Firewall rules
##########################

fw_start () {

# Réinitialise les règles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autorise les connexions déjà établies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# relance fail2ban si installe
if [ -x /usr/bin/fail2ban-server ]; then
    service fail2ban restart
fi

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT    # Attention, si vous avez changé le port SSH dans le fichier /etc/ssh/sshd_config, indiquez le à la place de 22
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# HTTP Caldav
iptables -t filter -A OUTPUT -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8008 -j ACCEPT

# HTTPS
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
# HTTPS Caldav
iptables -t filter -A OUTPUT -p tcp --dport 8008 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# FTP
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT

# TRANSMISSION DAEMON
iptables -t filter -A OUTPUT -p tcp --dport 9091 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 9091 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 51413 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51413 -j ACCEPT
iptables -t filter -A OUTPUT -m owner --gid-owner debian-transmission -j ACCEPT # transmission

# Mail SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Anti Flood / Deni de service / scan de port
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


# All other connections are registered in syslog
/sbin/iptables -A OUTPUT -j LOG
/sbin/iptables -A OUTPUT -j REJECT
/sbin/iptables -P OUTPUT DROP
# Other network protections
# (some will only work with some kernel versions)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

}

##########################
# Stop the Firewall rules
##########################

fw_stop () {
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
}

##########################
# Clear the Firewall rules
##########################

fw_clear () {
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

# relance fail2ban si installe
if [ -x /usr/bin/fail2ban-server ]; then
    service fail2ban restart
fi

}

##########################
# Test the Firewall rules
##########################

fw_save () {
/sbin/iptables-save > /etc/iptables.backup
}

fw_restore () {
if [ -e /etc/iptables.backup ]; then
 /sbin/iptables-restore < /etc/iptables.backup
fi
}

fw_test () {
fw_save
sleep 30 && echo "Restore previous Firewall rules..." && fw_restore
fw_stop
fw_start
}

##########################
# Get the Firewall status
##########################

fw_status () {
iptables -L --line-numbers
}

case "$1" in
start|restart)
 echo -n "Starting firewall.."
 fw_stop
 fw_start
 echo "done."
 ;;
stop)
 echo -n "Stopping firewall.."
 fw_stop
 echo "done."
 ;;
clear)
 echo -n "Clearing firewall rules.."
 fw_clear
 echo "done."
 ;;
test)
 echo -n "Test Firewall rules...\n"
 echo -n "Previous configuration will be restored in 30 seconds\n"
 fw_test
 ;;
status)
 echo -n "Firewall status :\n"
 fw_status
 echo "done."
 ;;
*)
 echo "Usage: $0 {start|stop|restart|clear|test|status}"
 echo "Be aware that stop drop all incoming/outgoing traffic !!!"
 exit 1
 ;;
esac
exit 0

et le résultat :

service firewall status
Firewall status :
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    fail2ban-recidive  tcp  --  anywhere             anywhere
2    fail2ban-vsftpd  tcp  --  anywhere             anywhere             multiport dports ftp,ftp-data,ftps,ftps-data
3    fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports 2222
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    ACCEPT     all  --  anywhere             anywhere
6    ACCEPT     icmp --  anywhere             anywhere
7    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
9    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8008
12   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
13   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
14   ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:ftp-data:ftp
15   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9091
16   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51413
17   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
18   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
19   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
20   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
21   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
22   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
23   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
2    ACCEPT     udp  --  anywhere             anywhere             limit: avg 1/sec burst 5
3    ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
4    ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
6    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
7    ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8008
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8008
12   ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:ftp-data:ftp
13   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9091
14   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51413
15   ACCEPT     all  --  anywhere             anywhere             owner GID match debian-transmission
16   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
17   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
18   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
19   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
20   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
21   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
22   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
23   LOG        all  --  anywhere             anywhere             LOG level warning
24   REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain fail2ban-recidive (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere

Chain fail2ban-vsftpd (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  anywhere             anywhere
done.

Si quelqu'un peut m'aider, le port 51413 reste bloqué en TCP...

Merci d'avance !

Dernière modification par bartabbas (Le 24/02/2016, à 17:09)

Hors ligne

#2 Le 24/02/2016, à 09:45

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

Salut, de mémoire, transmission c'est vraiment la plaie, car ouvrir seulement le port que l'on veut pour ce logiciel ne suffit pas, il fallait ouvrir autre chose, mais je ne sais plus ce que c'est. Je sais juste que quand je voulais l'utiliser je laisser ma Policy de OUTPUT en ACCEPT le temps de l'utiliser, et une fois fini je la repassai en DROP, et ça marchait très bien comme ça, fait l'essaie ça va passer sans problème.

Après faudrait analyser avec Netstat ou autre je ne sais pas, ce qui se passe via ton réseau et découvrir qu'est-ce qu'il faut autoriser en plus pour ne pas avoir à faire cette manip DROP et ACCEPT sur OUTPUT, mais comme je te dis, je ne me souviens plus ce que c'est.

@ plus.

Hors ligne

#3 Le 24/02/2016, à 11:58

jean-luc5629

Re : Config chaine OUTPUT Iptables pour transmission-daemon

robindesbois a écrit :

Salut, de mémoire, transmission c'est vraiment la plaie, car ouvrir seulement le port que l'on veut pour ce logiciel ne suffit pas, il fallait ouvrir autre chose, mais je ne sais plus ce que c'est.

@ plus.

Salut;

Transmission, comme tous les autres clients torrents manageables à distance (rtorrent, deluge,..) ont un port destiné aux connexions torrent (ex 51413 dans ce cas ci) + un port destiné au rpc (justement pour l'accès à distance : 9091 pour transmission par défaut); d'ailleurs ce port si on dispose d'un serveur web (ce qui est fréquent sur un serveur), il vaut mieux le mettre en écoute locale et de faire un reverse-proxy , comme ça tout passe par le serveur web, et ça réduit le nombre de ports en écoute sur le serveur.

Dernière modification par jean-luc5629 (Le 24/02/2016, à 12:00)

Hors ligne

#4 Le 24/02/2016, à 12:43

bartabbas

Re : Config chaine OUTPUT Iptables pour transmission-daemon

Merci pour les réponses;

Le port 9091 est bien ouvert de son coté pas de pb de connexion au démon pour l’administration.

OK pour le passage en policy ACCEPT, mais dans ce cas autant pas mettre de pare-feu smile.

La commande netstat m'indique que le port 51413 est ouvert et actif :

 netstat -ta | grep "51413"

Proto   Recv-Q       Send-Q     Local Address           Foreign Address                    State

tcp        0           0        *:51413                        *:*                         LISTEN
tcp        0           0        bartabbas:47474         bartabbas:51413                    TIME_WAIT
tcp        0           0        bartabbas:51413         ***.***.***.***:65311              TIME_WAIT
tcp        0         72186      bartabbas:51413         ***.***.***.***:53581              ESTABLISHED
tcp6       0           0        [::]:51413              [::]:*                             LISTEN

Mais ca m'empeche pas de recevoir des messages comme quoi ça coince (j'ai taillé dans le lard et laissé qu'une ligne, mais y'en a VRAIMENT beaucoup) smile


cat /var/log/messages | grep "51413"
Feb 24 06:33:39 bartabbas kernel: [1537566.523441] IN= OUT=venet0 SRC=<mon adresse IP (masquée)> DST=<adresse IP de destination (masquée)> LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=51413 DPT=64966 WINDOW=0 RES=0x00 RST URGP=0

Si quelqu'un a une idée...

Dernière modification par bartabbas (Le 24/02/2016, à 12:47)

Hors ligne

#5 Le 24/02/2016, à 15:22

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

bartabbas a écrit :

OK pour le passage en policy ACCEPT, mais dans ce cas autant pas mettre de pare-feu smile.

Bah, tu modifies pas INPUT, mais OUTPUT,, (et juste le temps d'utilisation de Transmission), les risques sont ultra-limités à........... À ou plutôt aux, précautions d'installations de logiciels que prend l'administrateur du système d'exploitation et d'où il tire les logiciels qu'il a installé sur la machine que tu utilises avec Transmission. Si tous ces logiciels sont tout le temps mis à jour avec assiduité, et qu'ils proviennent des sources officielles Ubuntu, c'est du gâteau. Mais enfin, contacte-le pour en être rassuré, ils t'expliquera ça mieux que nous.

Hors ligne

#6 Le 24/02/2016, à 15:32

bartabbas

Re : Config chaine OUTPUT Iptables pour transmission-daemon

OK tu as raison; les risques sont relativement limités, c'est jouable à titre temporaire donc.

Maintenant mon daemon transmission, il tourne longtemps dans la journée big_smile

Si sur le long terme quelqu'un a une solution qui ne m'oblige pas à jouer sur la Policy, je suis preneur !

Dernière modification par bartabbas (Le 24/02/2016, à 15:33)

Hors ligne

#7 Le 24/02/2016, à 16:42

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

bartabbas a écrit :

Si sur le long terme quelqu'un a une solution qui ne m'oblige pas à jouer sur la Policy, je suis preneur !

Mais il y en a une, ça c'est sûr. J'espère aussi qu'on viendra te la donner, mais enfin, tant que c'est sur OUTPUT, c'est du flux sortant qui est autorisé les temps de cession de Transmission, absolument pas du flux entrant dont tu gardes tous tes filtrages.

Si je peux dire un petit truc ce serait de changer le titre par exemple par quelque chose de plus en rapport avec ton problème dans sa globalité, qui est relativement simple, à savoir tu cherches à paramétrer la chaîne OUTPUT d'Iptables pour autoriser correctement les flux sortant du logiciel Transmission. Un titre adapté fait souvent la différence, cela dit, si tu veux une bonne recette de crêpes Suzette, tu peux tout aussi bien l'adapter big_smile Mais va falloirs'attendre à un déplacement de topic par un modérateur, (bon faut bien rire un peu pardon). @ plus !

Dernière modification par robindesbois (Le 24/02/2016, à 16:43)

Hors ligne

#8 Le 24/02/2016, à 17:10

bartabbas

Re : Config chaine OUTPUT Iptables pour transmission-daemon

et voila:)

Hors ligne

#9 Le 25/02/2016, à 09:07

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

;- )

Une question, hier je suis tombé sur une page qui parlait d'un truc, et ça m'a fait penser à cela :

Qu'est-ce que ça donne si tu démarres Transmission avec une règle POLICY OUTPUT sur ACCEPT, que tu laisses donc libre court à tes fluxs sortant (pour Transmission principalement donc ici), et que une fois démarré, tu recharges ton script (je sais pas moi, quelques minutes plus tard), avec tes règles habituelles, en remettant donc ta POLICY OUTPUT sur DROP stp ??

Ça continue à tourner normalement ou pas ???

Deuxième point qui me vient à l'esprit, je crois que Transmission a besoin de l'ouverture du port UPnP (qui est le port 1900, voir ici : https://www.grc.com/port_1900.htm ), du coup, pas besoin de faire la manip que je viens de décrire au dessus concernant donc les différentes valeurs pour la POLICY OUTPUT, tu n'aurais qu'à inclure dans tes règles Iptables d'OUTPUT, l'autorisation du port 1900, (en laissant donc ta POLICY OUTPUT sur DROP en natif).

Enfin voilà deux pistes qui pourraient peut-être t'aider, passe nous dire si tu as un meilleur résultat sur un ou l'autre stp, merci

Dernière modification par robindesbois (Le 25/02/2016, à 09:09)

Hors ligne

#10 Le 25/02/2016, à 10:03

pires57

Re : Config chaine OUTPUT Iptables pour transmission-daemon

Installes wireshark, ferme tout tes programmes nécessitant un accès internet (skype, firefox ...), lance la capture dans wireshark et lance ensuite transmission.
Après il te faudra analyser les trames ... tu n'auras pas forcément tout les ports mais avec un peu de chance tu pourras y découvrir une plage  ...


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#11 Le 29/02/2016, à 09:26

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

bartabbas a écrit :

et voila:)


Salut, tu as résolu finalement ? wink

Hors ligne

#12 Le 02/03/2016, à 22:52

bartabbas

Re : Config chaine OUTPUT Iptables pour transmission-daemon

@robindesbois Salut,

Peu de temps pour tester la soluce, je suis en déplacement...

Toujours des erreurs dans var/log/messages même avec policy OUTPUT ACCEPT ; faut que je regarde mieux les règles iptables...

comment ca marche iptables : pour chaque paquet traité il suit les regles de la table 1 par 1 dans l'ordre jusqu'à ce qu'il matche une règle, c'est ca?

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
6    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
7    ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8008
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8008
12   ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:ftp-data:ftp
13   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9091
14   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51413
15   ACCEPT     all  --  anywhere             anywhere             owner GID match debian-transmission
16   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
17   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
18   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
19   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
20   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
21   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
22   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
23   LOG        all  --  anywhere             anywhere             LOG level warning
24   REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

et dans mon cas c'est la règle 23 qui envoie dans le log certains paquets ?

Ou je comprends rien?

@pires57 OK merci pour le conseil
Là aussi je manque de temps; je vais devoir installer tshark et regarder des tutos pour ca  (je suis en mode console)

Dernière modification par bartabbas (Le 02/03/2016, à 22:56)

Hors ligne

#13 Le 03/03/2016, à 09:55

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

écoute, si tes règles habituelles (sans vouloir utiliser Transmission j'entends) marchent sans problèmes, alors j'ai l'impression que je t'ai trouvé les règles Iptables pour Transmission (tout en laissant la Policy de ton OUTPUT sur DROP comme tu veux le laisser actuellement), je suis tombé dessus par hasard, il faudra que tu les testes, voir ici dans leur script (tu descends sur la page jusqu'à trouver les règles qu'ils donnent pour Transmission quand la Policy de OUTPUT est sur DROP ), à plus.

https://www.isalo.org/wiki.debian-fr/R% … _bureau%29

Il faudra peut-être que tu autorises de façon permanente ou non, le certificat de sécurité pour voir cette page, mais si ça t'ennuies profondément de faire ça, alors les règles pour transmission qu'ils donnent (avec à la base donc une Policy de OUTPUT sur DROP) sont celles-ci :

iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535  -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT

Dernière modification par robindesbois (Le 03/03/2016, à 09:55)

Hors ligne

#14 Le 03/03/2016, à 20:42

bartabbas

Re : Config chaine OUTPUT Iptables pour transmission-daemon

merci pour le lien  je teste tout ça.

Dernière modification par bartabbas (Le 03/03/2016, à 20:43)

Hors ligne

#15 Le 04/03/2016, à 07:32

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

de rien, à toute...!

Dernière modification par robindesbois (Le 04/03/2016, à 09:20)

Hors ligne

#16 Le 04/03/2016, à 10:29

pires57

Re : Config chaine OUTPUT Iptables pour transmission-daemon

iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT

je doute fortement que transmission ai besoin d'une plage de port aussi étendu, que ce soit en source ou en destination ....
La meilleur solution c'est de cibler les ports nécessaires (avec une analyse de trame donc wireshark (ou équivalent) ) et n'autoriser que ce qui est nécessaire.
Mettre iptables pour ouvrir les 3/4 des ports existant c'est simplement inutile, idem dans le cas ou tu dois désactivé iptables pour faire fonctionner une appli, si tu fais cela c'est que ton firewall est mal configuré.
Si tu doit supprimer la sécurité mise en place pour exécuter un logiciel, c'est que ta sécurité comprends une grosse brèche puisque tu seras obliger de la couper à un moment donnée (même si mon discours sur l'utilité d'un firewall sur un poste de travail n'a pas changé, quand on fait de la sécurité, on va jusqu'au bout, on ne s'arrête pas à la moitié. )


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#17 Le 04/03/2016, à 15:59

robindesbois

Re : Config chaine OUTPUT Iptables pour transmission-daemon

ptdr!!

Hors ligne