config de iptables

Le Tue May 10 2005 à 09:08:51PM +0200, david hannequin dit :

Bonjour,

OS debian Woody
J'ai mis les régles d'iptables comme ci-dessous :

LAN2.168.0.0/24

un peu large non ?

[...]

Mais quand j'essaye de faire apt-get update il n'arrive pas à
télécharger les mises à jour.

Tu prends des sources http ou ftp ?

Qu'est qui est mal écrit ou manque dans mes régles (ca marche sans
iptables) ?

Tu as juste une machine derrière un routeur/modem ?

Merci d'avance
David Hannequin

Bop.
--
David Dumortier
david.dumortier@dudu.dynalias.net


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

david hannequin a écrit :

OS debian Woody

Tiens, je ne suis donc pas le dernier irréductible à ne pas encore être
passé en Sarge. ;-)

J'ai mis les régles d'iptables comme ci-dessous :

[Voix qui résonne dans ta tête] "Utilise le suivi de connexion, Luke."
Le suivi de connexion c'est bon, mangez-en. Et en plus ça simplifie
vachement la vie, je vous jure.

Mais quand j'essaye de faire apt-get update il n'arrive pas à
télécharger les mises à jour.

Qu'est qui est mal écrit ou manque dans mes régles (ca marche sans
iptables) ?

Et si tu commençais par le commencement en précisant le contexte ?
Ces règles sont-elles sur la machine qui essaie de faire un apt-get ou
une passerelle située en amont ? A-t-elle une ou plusieurs interfaces
réseau actives en dehors de lo, de quel type et vers quoi ? Quelles sont
les activités réseau prévues en entrée et en sortie ? Où sont situés les
miroirs Debian configurés dans /etc/apt/sources.list ? De quels types
sont-ils, HTTP ou FTP ?

Je crois comprendre ce qui suit sur la machine qui a ces règles :
- elle appartient à un réseau local 192.168.0.0/24
- elle accepte et retransmet tout le trafic venant de ce réseau
- elle peut émettre tout type de trafic vers ce réseau
- elle peut émettre des requêtes DNS
- elle héberge un serveur web et un serveur SSH.

Mais :
- elle ne peut émettre de requête vers des serveurs situés en dehors du
réseau local, ni en recevoir les réponses
- elle ne peut retransmettre les réponses aux requêtes qu'elles a laissé
passer.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

> OS debian Woody

Tiens, je ne suis donc pas le dernier irréductible à ne pas encore
être
passé en Sarge. ;-)

[Voix qui résonne dans ta tête] "Utilise le suivi de connexion, Luke."
Le suivi de connexion c'est bon, mangez-en. Et en plus ça simplifie
vachement la vie, je vous jure.

Merci maitre Yoda ;-)

Et si tu commençais par le commencement en précisant le contexte ?
Ces règles sont-elles sur la machine qui essaie de faire un apt-get ou
une passerelle située en amont ?

Il y a une passerelle en amont de la machine qui doit faire des apt-get.

A-t-elle une ou plusieurs interfaces réseau actives en dehors de lo,
de quel type et vers quoi ?

La machine ne posséde qu'un interface réseau eth0

Quelles sont les activités réseau prévues en entrée et en sortie ?

Je juste un serveur web et ssh.

Où sont situés les miroirs Debian configurés
dans /etc/apt/sources.list ?

En france http://ftp.fr.debian.org/ ?

De quels types sont-ils, HTTP ou FTP ?

En HTTP.

Je crois comprendre ce qui suit sur la machine qui a ces règles :
- elle appartient à un réseau local 192.168.0.0/24
- elle accepte et retransmet tout le trafic venant de ce réseau
- elle peut émettre tout type de trafic vers ce réseau
- elle peut émettre des requêtes DNS
- elle héberge un serveur web et un serveur SSH.

Mais :
- elle ne peut émettre de requête vers des serveurs situés en dehors
du réseau local, ni en recevoir les réponses
- elle ne peut retransmettre les réponses aux requêtes qu'elles a
laissé passer.

C'est exactement ce que je pensai avoir écrit.

J'ai ajouté ses les lignes ci-dessous et les apt-get update
fonctionnent :

Merci à Julien Poszywal pour ses deux lignes.
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

Merci pour vos réponses
David Hannequin
ps : j'essayerais d'etre plus claire ;-)




--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 12913ième jour après Epoch,
david hannequin écrivait:

Bonjour,

OS debian Woody
J'ai mis les régles d'iptables comme ci-dessous :

LAN2.168.0.0/24
# Suppression de toutes les régles
iptables -F
iptables -X

# Politique par défaut RIEN NE PASSE
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Pour accepter tout ce qui se passe sur l'interface lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Pour accepter tout ce qui passe sur le réseau local
iptables -A INPUT -s $LAN -j ACCEPT
iptables -A OUTPUT -d $LAN -j ACCEPT
iptables -A FORWARD -s $LAN -j ACCEPT

# Pour accepter le dns
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

# Pour le serveur Web
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Pour le serveur ssh
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Mais quand j'essaye de faire apt-get update il n'arrive pas à
télécharger les mises à jour.

Normal. Rien n'autorise quoi que ce soit à sortir spontanément.

Quelques remarques:

1) Tu acceptes tout ce qui viens du réseau local? C'est pas un peu
dangereux ça? En général, c'est par là que ça passe. D'autant plus
que ta directive INPUT ne tiens pas compte de l'interface qui
reçoit les paquets "locaux".

2) Le DNS passe aussi par TCP des fois

3) Tu devrais utiliser des choses comme RELATED, ESTABLISHED,
etc.. pour qualifier les paquets.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

bonjour,


Le mardi 10 mai 2005, david hannequin a écrit...

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

Tous les traffics en OUTPUT ne sont pas NEW,ESTABLISHED,RELATED. Et tous
les traffics en INPUT ne sont pas ESTABLISHED,RELATED (il peut même y en
avoir des NEW).

Donc tu pourrais filtrer plus finement, en adaptant le suivi de
connexion aux protocoles utilisés.

Il y a eu un fil important sur iptables le mois dernier sur duf. Tu
pourrais (devrais) y jeter une oeil.

--
jm



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

david hannequin a écrit :

La machine ne posséde qu'un interface réseau eth0

Quelles sont les activités réseau prévues en entrée et en sortie ?

juste un serveur web et ssh.

Où sont situés les miroirs Debian configurés
dans /etc/apt/sources.list ?

En france http://ftp.fr.debian.org/

Je crois comprendre ce qui suit sur la machine qui a ces règles :
- elle appartient à un réseau local 192.168.0.0/24
- elle accepte et retransmet tout le trafic venant de ce réseau
- elle peut émettre tout type de trafic vers ce réseau
- elle peut émettre des requêtes DNS
- elle héberge un serveur web et un serveur SSH.

Mais :
- elle ne peut émettre de requête vers des serveurs situés en dehors
du réseau local, ni en recevoir les réponses
- elle ne peut retransmettre les réponses aux requêtes qu'elles a
laissé passer.

C'est exactement ce que je pensai avoir écrit.

Ça implique qu'apt-get ne peut se connecter à un miroir Debian situé à
l'extérieur du LAN. Je suppose que ce n'est pas tout à fait ce que tu
souhaitais.

J'ai ajouté ses les lignes ci-dessous et les apt-get update
fonctionnent :

Merci à Julien Poszywal pour ses deux lignes.
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

Ça doit marcher, certes, mais c'est à la fois trop permissif (autorise
toute connexion TCP ou UDP sortante) et pas assez (bloque ce qui n'est
pas TCP ni UDP, donc tous les ICMP utiles). Voici un jeu de règles
relativement simple qui ne devrait autoriser que le trafic prévu.

LAN2.168.0.0/24 # plage d'adresses du LAN
DEB=ftp.fr.debian.org # miroir Debian

# autorise le trafic E/S sur l'interface de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# autorise le trafic E/S appartenant ou relatif aux connexions etablies
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# chaines utilisateur pour les nouvelles connexions sur eth0
iptables -N in_new
iptables -N out_new
iptables -A INPUT -i eth0 -m state --state NEW -j in_new
iptables -A OUTPUT -o eth0 -m state --state NEW -j out_new

# autorise le trafic E/S avec le LAN
iptables -A in_new -s $LAN -j ACCEPT
iptables -A out_new -d $LAN -j ACCEPT

# autorise les connexions HTTP(S) en entree
iptables -A in_new -p tcp --dport 80 -j ACCEPT
iptables -A in_new -p tcp --dport 443 -j ACCEPT

# autorise les connexions SSH en entree
iptables -A in_new -p tcp --dport 22 -j ACCEPT

# autorise le ping en entree avec limite a 5/s
iptables -A in_new -p icmp --icmp-type echo-request
-m limit --limit 5/s -j ACCEPT

# autorise les requêtes DNS en sortie
iptables -A out_new -p udp --dport 53 -j ACCEPT
iptables -A out_new -p tcp --syn --dport 53 -j ACCEPT

# autorise les connexions HTTP en sortie vers le miroir Debian
iptables -A out_new -d $DEB -p tcp --syn --dport 80 -j ACCEPT

# rejette les autres paquets NEW en entree avec limite a 5/s
iptables -A in_new -m limit --limit 5/s -j REJECT

# bloque le reste (paquets invalides ou depassant la limite)
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org