Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian règle Iptables

règle Iptables

8 réponses
Avatar
Tahar BEN ACHOUR
---1613889061-1442183901-1333047642=:64680
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir,=0A=0AJe suis un noob concernant Iptables je n'ai pas eu l'occasion=
de bien l'utiliser, donc je fais souvent des r=E8gles bancales qui me bloq=
uent.=0A=0APar exemple je voudrais faire la r=E8gle suivante sur mon serveu=
r bloquer toute requ=EAte DNS =E0 part vers l'ip de mon serveur DNS=0A=0Aj'=
ai fait les r=E8gles suivantes=0A=0Aiptables -I OUTPUT -p tcp -d my_dns_IP =
--dport 53 -j ACCEPT=0Aiptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j=
ACCEPT=0Aiptables -I OUTPUT -p tcp --dport 53 -j DROP=0Aiptables -I OUTPUT=
-p udp =A0--dport 53 -j DROP=0A=0A=0AChain INPUT (policy ACCEPT)=0Atarget =
=A0 =A0 prot opt source =A0 =A0 =A0 =A0 =A0 =A0 =A0 destination =A0 =A0 =A0=
=A0=A0=0A=0AChain FORWARD (policy ACCEPT)=0Atarget =A0 =A0 prot opt source=
=A0 =A0 =A0 =A0 =A0 =A0 =A0 destination =A0 =A0 =A0 =A0=A0=0A=0AChain OUTP=
UT (policy ACCEPT)=0Atarget =A0 =A0 prot opt source =A0 =A0 =A0 =A0 =A0 =A0=
=A0 destination =A0 =A0 =A0 =A0=A0=0ADROP =A0 =A0 =A0 udp =A0-- =A0anywher=
e =A0 =A0 =A0 =A0 =A0 =A0 anywhere =A0 =A0 =A0 =A0 =A0 =A0udp dpt:domain=A0=
=0ADROP =A0 =A0 =A0 tcp =A0-- =A0anywhere =A0 =A0 =A0 =A0 =A0 =A0 anywhere =
=A0 =A0 =A0 =A0 =A0 =A0tcp dpt:domain=A0=0AACCEPT =A0 =A0 udp =A0-- =A0anyw=
here =A0 =A0 =A0 =A0 =A0 =A0 my_dns_IP =A0 =A0 =A0 =A0udp dpt:domain=A0=0AA=
CCEPT =A0 =A0 tcp =A0-- =A0anywhere =A0 =A0 =A0 =A0 =A0 =A0 my_dns_IP =A0 =
=A0 =A0 =A0tcp dpt:domain=A0=0A=0AOr j'ai certainement fait une erreur puis=
que je n'arrive plus =E0 faire un dig @my_dns_IP j'ai un timeout=0AQuelqu'u=
n peut-il m'expliquer mon erreur ?=0A=0AJe vous remercie.
---1613889061-1442183901-1333047642=:64680
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D"color:#000; background-color:#fff; font-family:ar=
ial, helvetica, sans-serif;font-size:12pt"><div style=3D"font-family: arial=
, helvetica, sans-serif; font-size: 12pt; ">Bonsoir,</div><div style=3D"fon=
t-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></div><div s=
tyle=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt; ">Je su=
is un noob concernant Iptables je n'ai pas eu l'occasion de bien l'utiliser=
, donc je fais souvent des r=E8gles bancales qui me bloquent.</div><div sty=
le=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></d=
iv><div style=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt=
; ">Par exemple je voudrais faire la r=E8gle suivante sur mon serveur bloqu=
er toute requ=EAte DNS =E0 part vers l'ip de mon serveur DNS</div><div styl=
e=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></di=
v><div style=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt;=
">j'ai fait
les r=E8gles suivantes</div><div style=3D"font-family: arial, helvetica, s=
ans-serif; font-size: 12pt; "><br></div><div><div><font face=3D"arial, helv=
etica, sans-serif">iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACC=
EPT</font></div><div><font face=3D"arial, helvetica, sans-serif">iptables -=
I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT</font></div><div><font fa=
ce=3D"arial, helvetica, sans-serif">iptables -I OUTPUT -p tcp --dport 53 -j=
DROP</font></div><div><font face=3D"arial, helvetica, sans-serif">iptables=
-I OUTPUT -p udp &nbsp;--dport 53 -j DROP</font></div><div style=3D"font-f=
amily: arial, helvetica, sans-serif; font-size: 12pt; "><br></div></div><di=
v style=3D"font-family: arial, helvetica, sans-serif; font-size: 12pt; "><b=
r></div><div><div><font face=3D"arial, helvetica, sans-serif">Chain INPUT (=
policy ACCEPT)</font></div><div><font face=3D"arial, helvetica, sans-serif"=
>target &nbsp; &nbsp; prot opt source &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n=
bsp; &nbsp;
destination &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;</font></div><div><font face=
=3D"arial, helvetica, sans-serif"><br></font></div><div><font face=3D"arial=
, helvetica, sans-serif">Chain FORWARD (policy ACCEPT)</font></div><div><fo=
nt face=3D"arial, helvetica, sans-serif">target &nbsp; &nbsp; prot opt sour=
ce &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; destination &nbsp; &nbs=
p; &nbsp; &nbsp;&nbsp;</font></div><div><font face=3D"arial, helvetica, san=
s-serif"><br></font></div><div><font face=3D"arial, helvetica, sans-serif">=
Chain OUTPUT (policy ACCEPT)</font></div><div><font face=3D"arial, helvetic=
a, sans-serif">target &nbsp; &nbsp; prot opt source &nbsp; &nbsp; &nbsp; &n=
bsp; &nbsp; &nbsp; &nbsp; destination &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;</fo=
nt></div><div><font face=3D"arial, helvetica, sans-serif">DROP &nbsp; &nbsp=
; &nbsp; udp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nb=
sp; anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;udp
dpt:domain&nbsp;</font></div><div><font face=3D"arial, helvetica, sans-ser=
if">DROP &nbsp; &nbsp; &nbsp; tcp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nb=
sp; &nbsp; &nbsp; &nbsp; anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;=
tcp dpt:domain&nbsp;</font></div><div><font face=3D"arial, helvetica, sans-=
serif">ACCEPT &nbsp; &nbsp; udp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp=
; &nbsp; &nbsp; &nbsp; my_dns_IP &nbsp; &nbsp; &nbsp; &nbsp;udp dpt:domain&=
nbsp;</font></div><div><font face=3D"arial, helvetica, sans-serif">ACCEPT &=
nbsp; &nbsp; tcp &nbsp;-- &nbsp;anywhere &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;=
&nbsp; my_dns_IP &nbsp; &nbsp; &nbsp; &nbsp;tcp dpt:domain&nbsp;</font></d=
iv><div><font face=3D"arial, helvetica, sans-serif"><br></font></div><div><=
font face=3D"arial, helvetica, sans-serif">Or j'ai certainement fait une er=
reur puisque je n'arrive plus =E0 faire un dig @my_dns_IP j'ai un timeout</=
font></div><div><font face=3D"arial, helvetica, sans-serif">Quelqu'un peut-=
il
m'expliquer mon erreur ?</font></div><div><font face=3D"arial, helvetica, =
sans-serif"><br></font></div><div><font face=3D"arial, helvetica, sans-seri=
f">Je vous remercie.</font></div><div><font face=3D"arial, helvetica, sans-=
serif"><br></font></div><div><font face=3D"arial, helvetica, sans-serif"><b=
r></font></div><div><font face=3D"arial, helvetica, sans-serif"><br></font>=
</div><div><font face=3D"arial, helvetica, sans-serif"><br></font></div></d=
iv></div></body></html>
---1613889061-1442183901-1333047642=:64680--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1333047642.64680.YahooMailNeo@web171601.mail.ir2.yahoo.com
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Tahar BEN ACHOUR

Je suis un noob concernant Iptables



Et une buse qui ne lit pas la doc: que fait -I, par opposition à
-A?...



Je voudrais juste préciser que j'ai lu la doc mais vite fait car j'ai un gros soucis donc pas le temps de rester sur la doc et que j'avais besoin de la règle rapidement d'où ma question pour tenter de gagner du temps, c'est dommage de constater que c'est toujours la même réaction de la part de certain , je sais bien que l'aide de la communauté n'est pas obligatoire et que c e n'est pas de la charité, mais se faire rabaisser à chaque fois c'est vraiment limite !


iptables -I OUTPUT -p tcp -d my_dns_IP --dpor t 53 -j ACCEPT
iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j AC CEPT
iptables -I OUTPUT -p tcp --dport 53 -j DROP
iptables -I OUT PUT -p udp  --dport 53 -j DROP



--
QOTD:
    "My ambit ion is to marry a rich woman who's too proud to let
    her husban d work."

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, env oyez un message avec comme objet "unsubscribe"
vers debian-user-french-R
En cas de soucis, contactez EN ANGLAIS listmaste
Archive: http://lists.debian.org/20120329210751.45043" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/20120329210751.45043







--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
DROP       tcp  --  anywhere             anywhere            tcp


dpt:domain 
ACCEPT     udp  --  anywhere             my_dns_IP         udp dpt:domain 
ACCEPT     tcp  --  anywhere             my_dns_IP        tcp dpt:domain 



J'ai l'impr ession que les règles n'ont pas été tapées dans le bon
ordre ca r, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.

Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.




J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP il fallait fa ire le contraire ?


Merci pour ton explication

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pierre-Arnaud
Le 29/03/2012 21:00, Tahar BEN ACHOUR a écrit :
[...]
j'ai fait les règles suivantes

iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 53 -j DROP
iptables -I OUTPUT -p udp --dport 53 -j DROP
[...]
Or j'ai certainement fait une erreur puisque je n'arrive plus à faire un
dig @my_dns_IP j'ai un timeout
Quelqu'un peut-il m'expliquer mon erreur ?



Ouaip, enfin je crois.

L'ordre des règles a une importance. Tu peux insérer en début de chaîne
avec -I, ou ajouter en fin de chaîne avec -A.

En utilisant -I comme tu le fais, les dernières règles ajoutées
deviennent les premières à être appliquées, comme te le montre la sortie
d'iptables -L:

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain



Quand tu envoies un paquet à ton serveur DNS, il est droppé par une des
deux premières règles. Les règles suivantes ne sont même pas examinées.
Les règles les plus spécifiques doivent donc précéder les règles plus
générales.

Ca devrait mieux se passer si:

* tu recommences, mais en exécutant les commandes DROP avant les
commandes ACCEPT

ou

* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu
d'un -I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne
des règles qui interfèrent)

Dans les deux cas, ça devrait donner quelque chose dans ce genre:

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain

P.-A.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Thu, Mar 29, 2012 at 08:00:42PM +0100,
Tahar BEN ACHOUR wrote
a message of 101 lines which said:

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp dpt:domain 
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
ACCEPT     udp  --  anywhere             my_dns_IP        udp dpt:domain 
ACCEPT     tcp  --  anywhere             my_dns_IP        tcp dpt:domain 



J'ai l'impression que les règles n'ont pas été tapées dans le bon
ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.

Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu d'un
-I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne des
règles qui interfèrent)

Dans les deu x cas, ça devrait donner quelque chose dans ce genre:

Chain OUTP UT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp - - anywhere anywhere tcp dpt:domain

P.-A.



Je vois merci beauco up pour ton aide, je m'exécute tout de suite


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Thu, Mar 29, 2012 at 08:20:32PM +0100,
Tahar BEN ACHOUR wrote
a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
C'est bon c'est résolu

Merci pour votre aide



----- Mail o riginal -----
De : Stephane Bortzmeyer
À  : Tahar BEN ACHOUR
Cc : DEBIAN <debian-user-fr
Envoyé le : Jeudi 29 mars 2012 20h47
Objet  : Re: règle Iptables

On Thu, Mar 29, 2012 at 08:20:32PM +0100 ,
Tahar BEN ACHOUR wrote
a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'a i fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une questio n :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER , envoyez un message avec comme objet
"unsubscribe"
vers debian-us
En cas de soucis, contactez EN ANGLA IS
Archive: http://lists.debian.org/2012032" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/2012032




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
admini
On Thu, 29 Mar 2012 20:53:32 +0100 (BST), Tahar BEN ACHOUR
wrote:
C'est bon c'est résolu


bonne nouvelle

Merci pour votre aide


on est là pour ca, mais je voudrais, si vous me permettez, suggérer une
autre solution(peut etre plus simple)
iptables -P OUTPUT DROP
puis, tu autorise ce que tu veux. ce qui n'est pas autoriser est
interdit(implicitement). d'une manière générale, c'est comme ca qu'on
gère les firewall.



----- Mail original -----
De : Stephane Bortzmeyer
À : Tahar BEN ACHOUR
Cc : DEBIAN
Envoyé le : Jeudi 29 mars 2012 20h47
Objet : Re: règle Iptables

On Thu, Mar 29, 2012 at 08:20:32PM +0100,
Tahar BEN ACHOUR wrote
a message of 20 lines which said:

J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP



Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/