Regles Iptables non prises en compte ?

Le
Jeremie
Bonjour à tous,

voilà, j'ai commencé à mettre en place un pare-feu iptables sous Linux
2.6.24, et je me trouve confronté à un problème que je comprends pas.
Pour exemple, voici la configuration du pare-feu telle que représentée
par iptables-save :

*filter
:INPUT DROP [30:1224]
:FORWARD DROP [0:0]
:OUTPUT DROP [23:316946]

-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -j ACCEPT

COMMIT

Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête
semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait pas
en compte la règle.
Pour que cela marche, je suis obligé de rajouter les deux règles :

-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Ce que je ne comprends pas, c'est que dans mes ouvrages de référence, je
ne vois ces règles nul part. De plus, j'ai l'impression qu'elles
"annulent" d'autres règles

Qu'en pensez-vous ?

onne journée à tous

Jérémie
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
vlade_imir
Le #6783171
Le 05 Jun 2008 11:14:25 GMT,

Bonjour à tous,

voilà, j'ai commencé à mettre en place un pare-feu iptables sous
Linux 2.6.24, et je me trouve confronté à un problème que je
comprends pas. Pour exemple, voici la configuration du pare-feu telle
que représentée par iptables-save :

*filter
:INPUT DROP [30:1224]
:FORWARD DROP [0:0]
:OUTPUT DROP [23:316946]

-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -j ACCEPT

COMMIT

Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête
semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait
pas en compte la règle.
Pour que cela marche, je suis obligé de rajouter les deux règles :

-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Ce que je ne comprends pas, c'est que dans mes ouvrages de référence,
je ne vois ces règles nul part. De plus, j'ai l'impression qu'elles
"annulent" d'autres règles ...

Qu'en pensez-vous ?


En effet, les 2 dernières règles "annulent" tout.

Bonne journée à tous

Jérémie


Donc voici ma version plus conforme et sécurisée de votre configuration ;) :

#Configuration de l'interface de loopback lo :

iptables -A INPUT -i lo -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o lo -m state --state ! INVALID -j ACCEPT

#Autorisation du trafic RELATED et ESTABLISHED sur eth0:

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o etho -m state --state RELATED,ESTABLISHED -j ACCEPT

#Configuration pour autoriser l'entrée du trafic sur les ports 80 et 443:

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,443 -m state --state NEw -j ACCEPT


Voilà, en espérant que cela vous aide.

Publicité
Poster une réponse
Anonyme