règle Iptables

Le
Tahar BEN ACHOUR
1613889061-1442183901-1333047642=:64680
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir, Je suis un noob concernant Iptables je n'ai pas eu l'occasion=
de bien l'utiliser, donc je fais souvent des règles bancales qui me bloq=
uent. Par exemple je voudrais faire la règle suivante sur mon serveu=
r bloquer toute requête DNS à part vers l'ip de mon serveur DNS j'=
ai fait les règles suivantes iptables -I OUTPUT -p tcp -d my_dns_IP =
--dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j=
ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT=
-p udp  --dport 53 -j DROP Chain INPUT (policy ACCEPT) target =
    prot opt source               destination      =
   Chain FORWARD (policy ACCEPT) target     prot opt source=
              destination          Chain OUTP=
UT (policy ACCEPT) target     prot opt source            =
  destination          DROP       udp  --  anywher=
e             anywhere            udp dpt:domain =
DROP       tcp  --  anywhere             anywhere =
           tcp dpt:domain  ACCEPT     udp  --  anyw=
here             my_dns_IP        udp dpt:domain  A=
CCEPT     tcp  --  anywhere             my_dns_IP   =
     tcp dpt:domain  Or j'ai certainement fait une erreur puis=
que je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout Quelqu'u=
n peut-il m'expliquer mon erreur ? Je vous remercie.
1613889061-1442183901-1333047642=:64680
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body><div style="color:#000; background-color:#fff; font-family:ar=
ial, helvetica, sans-serif;font-size:12pt"><div style="font-family: arial=
, helvetica, sans-serif; font-size: 12pt; ">Bonsoir,</div><div style="fon=
t-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></div><div s=
tyle="font-family: arial, helvetica, sans-serif; font-size: 12pt; ">Je su=
is un noob concernant Iptables je n'ai pas eu l'occasion de bien l'utiliser=
, donc je fais souvent des règles bancales qui me bloquent.</div><div sty=
le="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></d=
iv><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt=
; ">Par exemple je voudrais faire la règle suivante sur mon serveur bloqu=
er toute requête DNS à part vers l'ip de mon serveur DNS</div><div styl=
e="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></di=
v><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt;=
">j'ai fait
les règles suivantes</div><div style="font-family: arial, helvetica, s=
ans-serif; font-size: 12pt; "><br></div><div><div><font face="arial, helv=
etica, sans-serif">iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACC=
EPT</font></div><div><font face="arial, helvetica, sans-serif">iptables -=
I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT</font></div><div><font fa=
ce="arial, helvetica, sans-serif">iptables -I OUTPUT -p tcp --dport 53 -j=
DROP</font></div><div><font face="arial, helvetica, sans-serif">iptables=
-I OUTPUT -p udp &nbsp;--dport 53 -j DROP</font></div><div style="font-f=
amily: arial, helvetica, sans-serif; font-size: 12pt; "><br></div></div><di=
v style="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><b=
r></div><div><div><font face="arial, helvetica, sans-serif">Chain INPUT (=
policy ACCEPT)</font></div><div><font face="arial, helvetica, sans-serif"=
>target &nbsp; &nbsp; prot opt source &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n=
bsp; &nbsp;
destination &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;</font></div><div><font face=
="arial, helvetica, sans-serif"><br></font></div><div><font face="arial=
, helvetica, sans-serif">Chain FORWARD (policy ACCEPT)</font></div><div><fo=
nt face="arial, helvetica, sans-serif">target &nbsp; &nbsp; prot opt sour=
ce &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; destination &nbsp; &nbs=
p; &nbsp; &nbsp;&nbsp;</font></div><div><font face="arial, helvetica, san=
s-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">=
Chain OUTPUT (policy ACCEPT)</font></div><div><font face="arial, helvetic=
a, sans-serif">target &nbsp; &nbsp; prot opt source &nbsp; &nbsp; &nbsp; &n=
bsp; &nbsp; &nbsp; &nbsp; destination &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;</fo=
nt></div><div><font face="arial, helvetica, sans-serif">DROP &nbsp; &nbsp=
; &nbsp; udp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nb=
sp; anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;udp
dpt:domain&nbsp;</font></div><div><font face="arial, helvetica, sans-ser=
if">DROP &nbsp; &nbsp; &nbsp; tcp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nb=
sp; &nbsp; &nbsp; &nbsp; anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;=
tcp dpt:domain&nbsp;</font></div><div><font face="arial, helvetica, sans-=
serif">ACCEPT &nbsp; &nbsp; udp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp=
; &nbsp; &nbsp; &nbsp; my_dns_IP &nbsp; &nbsp; &nbsp; &nbsp;udp dpt:domain&=
nbsp;</font></div><div><font face="arial, helvetica, sans-serif">ACCEPT &=
nbsp; &nbsp; tcp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;=
&nbsp; my_dns_IP &nbsp; &nbsp; &nbsp; &nbsp;tcp dpt:domain&nbsp;</font></d=
iv><div><font face="arial, helvetica, sans-serif"><br></font></div><div><=
font face="arial, helvetica, sans-serif">Or j'ai certainement fait une er=
reur puisque je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout</=
font></div><div><font face="arial, helvetica, sans-serif">Quelqu'un peut-=
il
m'expliquer mon erreur ?</font></div><div><font face="arial, helvetica, =
sans-serif"><br></font></div><div><font face="arial, helvetica, sans-seri=
f">Je vous remercie.</font></div><div><font face="arial, helvetica, sans-=
serif"><br></font></div><div><font face="arial, helvetica, sans-serif"><b=
r></font></div><div><font face="arial, helvetica, sans-serif"><br></font>=
</div><div><font face="arial, helvetica, sans-serif"><br></font></div></d=
iv></div></body></html>
1613889061-1442183901-1333047642=:64680--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1333047642.64680.YahooMailNeo@web171601.mail.ir2.yahoo.com
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Tahar BEN ACHOUR
Le #24359741

Je suis un noob concernant Iptables



Et une buse qui ne lit pas la doc: que fait -I, par opposition à
-A?...



Je voudrais juste préciser que j'ai lu la doc mais vite fait car j'ai un gros soucis donc pas le temps de rester sur la doc et que j'avais besoin de la règle rapidement d'où ma question pour tenter de gagner du temps, c'est dommage de constater que c'est toujours la même réaction de la part de certain , je sais bien que l'aide de la communauté n'est pas obligatoire et que c e n'est pas de la charité, mais se faire rabaisser à chaque fois c'est vraiment limite !


iptables -I OUTPUT -p tcp -d my_dns_IP --dpor t 53 -j ACCEPT
iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j AC CEPT
iptables -I OUTPUT -p tcp --dport 53 -j DROP
iptables -I OUT PUT -p udp  --dport 53 -j DROP



--
QOTD:
    "My ambit ion is to marry a rich woman who's too proud to let
    her husban d work."

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, env oyez un message avec comme objet "unsubscribe"
vers debian-user-french-R
En cas de soucis, contactez EN ANGLAIS listmaste
Archive: http://lists.debian.org/20120329210751.45043







--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #24359721
DROP       tcp  --  anywhere             anywhere            tcp


dpt:domain 
ACCEPT     udp  --  anywhere             my_dns_IP         udp dpt:domain 
ACCEPT     tcp  --  anywhere             my_dns_IP        tcp dpt:domain 



J'ai l'impr ession que les règles n'ont pas été tapées dans le bon
ordre ca r, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.

Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.




J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP il fallait fa ire le contraire ?


Merci pour ton explication

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Pierre-Arnaud
Le #24359731
Le 29/03/2012 21:00, Tahar BEN ACHOUR a écrit :
[...]
j'ai fait les règles suivantes

iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 53 -j DROP
iptables -I OUTPUT -p udp --dport 53 -j DROP
[...]
Or j'ai certainement fait une erreur puisque je n'arrive plus à faire un
dig @my_dns_IP j'ai un timeout
Quelqu'un peut-il m'expliquer mon erreur ?



Ouaip, enfin je crois.

L'ordre des règles a une importance. Tu peux insérer en début de chaîne
avec -I, ou ajouter en fin de chaîne avec -A.

En utilisant -I comme tu le fais, les dernières règles ajoutées
deviennent les premières à être appliquées, comme te le montre la sortie
d'iptables -L:

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain



Quand tu envoies un paquet à ton serveur DNS, il est droppé par une des
deux premières règles. Les règles suivantes ne sont même pas examinées.
Les règles les plus spécifiques doivent donc précéder les règles plus
générales.

Ca devrait mieux se passer si:

* tu recommences, mais en exécutant les commandes DROP avant les
commandes ACCEPT

ou

* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu
d'un -I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne
des règles qui interfèrent)

Dans les deux cas, ça devrait donner quelque chose dans ce genre:

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain

P.-A.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Stephane Bortzmeyer
Le #24359711
On Thu, Mar 29, 2012 at 08:00:42PM +0100,
Tahar BEN ACHOUR a message of 101 lines which said:

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp dpt:domain 
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
ACCEPT     udp  --  anywhere             my_dns_IP        udp dpt:domain 
ACCEPT     tcp  --  anywhere             my_dns_IP        tcp dpt:domain 



J'ai l'impression que les règles n'ont pas été tapées dans le bon
ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.

Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #24359811
* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu d'un
-I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne des
règles qui interfèrent)

Dans les deu x cas, ça devrait donner quelque chose dans ce genre:

Chain OUTP UT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp - - anywhere anywhere tcp dpt:domain

P.-A.



Je vois merci beauco up pour ton aide, je m'exécute tout de suite


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Stephane Bortzmeyer
Le #24359831
On Thu, Mar 29, 2012 at 08:20:32PM +0100,
Tahar BEN ACHOUR a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #24359801
C'est bon c'est résolu

Merci pour votre aide



----- Mail o riginal -----
De : Stephane Bortzmeyer À  : Tahar BEN ACHOUR Cc : DEBIAN Envoyé le : Jeudi 29 mars 2012 20h47
Objet  : Re: règle Iptables

On Thu, Mar 29, 2012 at 08:20:32PM +0100 ,
Tahar BEN ACHOUR a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'a i fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une questio n :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER , envoyez un message avec comme objet
"unsubscribe"
vers debian-us
En cas de soucis, contactez EN ANGLA IS
Archive: http://lists.debian.org/2012032




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
admini
Le #24360851
On Thu, 29 Mar 2012 20:53:32 +0100 (BST), Tahar BEN ACHOUR
C'est bon c'est résolu


bonne nouvelle

Merci pour votre aide


on est là pour ca, mais je voudrais, si vous me permettez, suggérer une
autre solution(peut etre plus simple)
iptables -P OUTPUT DROP
puis, tu autorise ce que tu veux. ce qui n'est pas autoriser est
interdit(implicitement). d'une manière générale, c'est comme ca qu'on
gère les firewall.



----- Mail original -----
De : Stephane Bortzmeyer À : Tahar BEN ACHOUR Cc : DEBIAN Envoyé le : Jeudi 29 mars 2012 20h47
Objet : Re: règle Iptables

On Thu, Mar 29, 2012 at 08:20:32PM +0100,
Tahar BEN ACHOUR a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Publicité
Poster une réponse
Anonyme