nautilus et iptables

Salut,

j'ai un problème avec le par feux, quand je ferme tout les ports sauf
ceux que je veux sa m'empêche
de lancer certaine application ??? par exemple :
[...]

iptables -P INPUT DROP
#iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

Si tu n'as pas de serveur web sur la machine, cette règle n'a rien à
faire ici.
Si les règles sont en commentaire, il ne reste que la politique par
défaut DROP qui bloque tout en entrée. Forcément ça marche beaucoup
moins bien.

#iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT

Je suppose que cette règle est censée accepter le trafic retour des
serveurs web. Mais ça accepte aussi n'importe quoi en provenance du port
80. Il vaut mieux utiliser le suivi de connexion qui est fait pour ça.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Cette règle accepte le trafic retour lié à toute connexion sortante. Si
tu veux interdire certaines connexions il faut le faire en sortie dans
OUTPUT. Au passage ça accepte aussi les réponses aux requêtes DNS, ce
qui est généralement utile. Et cela accepte le trafic "valide" (au sens
du suivi de connexion) local en entrée sur l'interface de loopback. Il
est plus que déconseillé de bloquer le trafic de l'interface de
loopback. Chez moi Firefox ouvre plusieurs connexion en local. Ton jeu
de règles bloquerait ces connexions.

#iptables -A INPUT -i eth0 -p tcp --dport ! 80 -j DROP
#iptables -A INPUT -i eth0 -p tcp --sport ! 80 -j DROP

#iptables -A INPUT -i eth0 -s 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -s 127.0.0.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 127.0.0.1/24 -j ACCEPT

Quel est le but de ces règles ?

Pascal Hambourg a écrit(wrote):

#iptables -A INPUT -i eth0 -s 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -s 127.0.0.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 127.0.0.1/24 -j ACCEPT

Quel est le but de ces règles ?

D'autoriser le traffice local, mais manque de chance celui-ci passe par
l'interface de loopback (normal), de plus en toute rigueur, dans une
situation normale il n'ya que les interfaces de la machine qui passe par
cette interface. On peut simplement faire (en utilisant les état en
OUTPUT) :
iptables -A INPUT -i lo -j ACCEPT

Si on est est peut plus parano :
iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -i lo -s 192.168.1.1 -d 192.168.1.1 -j ACCEPT
(noter le 127.0.0.0/8 et l'utilisation de l'IP seule dans l'autre cas)

--
Julien

Salut,

j'ai un problème avec le par feux, quand je ferme tout les ports sauf
ceux que je veux sa m'empêche
de lancer certaine application ??? par exemple :

[...]

Ben fait l'experiance :)

iptables -P INPUT DROP
#iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

Si tu n'as pas de serveur web sur la machine, cette règle n'a rien à
faire ici.
Si les règles sont en commentaire, il ne reste que la politique par
défaut DROP qui bloque tout en entrée. Forcément ça marche beaucoup
moins bien.

#iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT

Je suppose que cette règle est censée accepter le trafic retour des
serveurs web. Mais ça accepte aussi n'importe quoi en provenance du port
80. Il vaut mieux utiliser le suivi de connexion qui est fait pour ça.

Oui pour ce qui est des règles je ne fait toujours que tester. Tout
exemples est le bienvenu.
Oui c est fait pour le net avec dasn le future d'autre ports

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Cette règle accepte le trafic retour lié à toute connexion sortante. Si
tu veux interdire certaines connexions il faut le faire en sortie dans
OUTPUT. Au passage ça accepte aussi les réponses aux requêtes DNS, ce
qui est généralement utile. Et cela accepte le trafic "valide" (au sens
du suivi de connexion) local en entrée sur l'interface de loopback. Il
est plus que déconseillé de bloquer le trafic de l'interface de
loopback. Chez moi Firefox ouvre plusieurs connexion en local. Ton jeu
de règles bloquerait ces connexions.

#iptables -A INPUT -i eth0 -p tcp --dport ! 80 -j DROP
#iptables -A INPUT -i eth0 -p tcp --sport ! 80 -j DROP

#iptables -A INPUT -i eth0 -s 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -s 127.0.0.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 127.0.0.1/24 -j ACCEPT

Quel est le but de ces règles ?

de ne pas ce faire haker si le terme convient, sa me paraissait évidant
étant donner que c est le but d'un par feux, mai sa vrai que sa méritai
d'etre explicite,

Je préfère la politique drop car je suis certain qui rien ne passe ,
d'ailleurs sa marche un peut trop bien.
sa ferme aussi les sports intérieur deja en partie si je puis dire.
merci pour ta réponse.
Debian sarge stable r2 kernel 2.6.8-2-686-smp

Pascal Hambourg a écrit(wrote):

#iptables -A INPUT -i eth0 -s 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -s 127.0.0.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 127.0.0.1/24 -j ACCEPT

Quel est le but de ces règles ?

--
Julien a écrit:

D'autoriser le traffice local, mais manque de chance celui-ci passe par
l'interface de loopback (normal), de plus en toute rigueur, dans une
situation normale il n'ya que les interfaces de la machine qui passe par
cette interface. On peut simplement faire (en utilisant les état en
OUTPUT) :
iptables -A INPUT -i lo -j ACCEPT

la politique de OUPUT est a accepter par défaut le problème n'est donc
pas la
merci pour l'astuce sur le loopack je vais essayer sa quand même
et surtout essayer de comprendre,


Si on est est peut plus parano :
iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -i lo -s 192.168.1.1 -d 192.168.1.1 -j ACCEPT
(noter le 127.0.0.0/8 et l'utilisation de l'IP seule dans l'autre cas)
---fin

il faut noter que je suis obliger d'accepter en input l'adresse du
router qui lui est relier aux net, celui ci attribue donc l'ip a 2
machine qui devrons donc pour dialoguer en elle. A noter que c'est
aussi pour cette raison que je fait cette config car sinon j'accepte
tout de l'extérieur et évidement c est a proscrire.

le problèmes c est que sa me bloque tout les application aux points. que
sa m'empêche de booter sur le serveur X ! par contre c est efficace
c'est le port 80 only , donc il doit y avoine une moyen de permettre aux
application de tourner en interne sa que sa les bloques, Merci de
m'aider su ce point. a noter que je ne suis apparemment pas le seul a a
voire ce problème qui est lier aux router.


Merci pour toute les infos :)

#iptables -A INPUT -i eth0 -s 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -s 127.0.0.1/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 127.0.0.1/24 -j ACCEPT

Quel est le but de ces règles ?

D'autoriser le traffice local, mais manque de chance celui-ci passe par
l'interface de loopback (normal),

Effectivement c'est raté.

de plus en toute rigueur, dans une
situation normale il n'ya que les interfaces de la machine qui passe par
cette interface.

Gni ? Les interface qui passent par cette interface ?

On peut simplement faire (en utilisant les état en
OUTPUT) :
iptables -A INPUT -i lo -j ACCEPT

Comment ça en utilisant les états en OUTPUT ?

Si on est est peut plus parano :
iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -i lo -s 192.168.1.1 -d 192.168.1.1 -j ACCEPT

J'aime pas trop, ça bloque les communications de 192.168.1.1 vers
127.0.0.0/8 et vice versa.

Franchement, sur l'interface de loopback, quel intérêt :
- de filtrer sur les adresses source/destination (le routage ne suffit
pas ?)
- et même de filtrer quoi que ce soit ?