règle Iptables
Le
Tahar BEN ACHOUR

1613889061-1442183901-1333047642=:64680
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Bonsoir, Je suis un noob concernant Iptables je n'ai pas eu l'occasion=
de bien l'utiliser, donc je fais souvent des règles bancales qui me bloq=
uent. Par exemple je voudrais faire la règle suivante sur mon serveu=
r bloquer toute requête DNS à part vers l'ip de mon serveur DNS j'=
ai fait les règles suivantes iptables -I OUTPUT -p tcp -d my_dns_IP =
--dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j=
ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT=
-p udp --dport 53 -j DROP Chain INPUT (policy ACCEPT) target =
prot opt source destination =
Chain FORWARD (policy ACCEPT) target prot opt source=
destination Chain OUTP=
UT (policy ACCEPT) target prot opt source =
destination DROP udp -- anywher=
e anywhere udp dpt:domain =
DROP tcp -- anywhere anywhere =
tcp dpt:domain ACCEPT udp -- anyw=
here my_dns_IP udp dpt:domain A=
CCEPT tcp -- anywhere my_dns_IP =
tcp dpt:domain Or j'ai certainement fait une erreur puis=
que je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout Quelqu'u=
n peut-il m'expliquer mon erreur ? Je vous remercie.
1613889061-1442183901-1333047642=:64680
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style="color:#000; background-color:#fff; font-family:ar=
ial, helvetica, sans-serif;font-size:12pt"><div style="font-family: arial=
, helvetica, sans-serif; font-size: 12pt; ">Bonsoir,</div><div style="fon=
t-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></div><div s=
tyle="font-family: arial, helvetica, sans-serif; font-size: 12pt; ">Je su=
is un noob concernant Iptables je n'ai pas eu l'occasion de bien l'utiliser=
, donc je fais souvent des règles bancales qui me bloquent.</div><div sty=
le="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></d=
iv><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt=
; ">Par exemple je voudrais faire la règle suivante sur mon serveur bloqu=
er toute requête DNS à part vers l'ip de mon serveur DNS</div><div styl=
e="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></di=
v><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt;=
">j'ai fait
les règles suivantes</div><div style="font-family: arial, helvetica, s=
ans-serif; font-size: 12pt; "><br></div><div><div><font face="arial, helv=
etica, sans-serif">iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACC=
EPT</font></div><div><font face="arial, helvetica, sans-serif">iptables -=
I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT</font></div><div><font fa=
ce="arial, helvetica, sans-serif">iptables -I OUTPUT -p tcp --dport 53 -j=
DROP</font></div><div><font face="arial, helvetica, sans-serif">iptables=
-I OUTPUT -p udp --dport 53 -j DROP</font></div><div style="font-f=
amily: arial, helvetica, sans-serif; font-size: 12pt; "><br></div></div><di=
v style="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><b=
r></div><div><div><font face="arial, helvetica, sans-serif">Chain INPUT (=
policy ACCEPT)</font></div><div><font face="arial, helvetica, sans-serif"=
>target prot opt source &n=
bsp;
destination </font></div><div><font face=
="arial, helvetica, sans-serif"><br></font></div><div><font face="arial=
, helvetica, sans-serif">Chain FORWARD (policy ACCEPT)</font></div><div><fo=
nt face="arial, helvetica, sans-serif">target prot opt sour=
ce destination &nbs=
p; </font></div><div><font face="arial, helvetica, san=
s-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">=
Chain OUTPUT (policy ACCEPT)</font></div><div><font face="arial, helvetic=
a, sans-serif">target prot opt source &n=
bsp; destination </fo=
nt></div><div><font face="arial, helvetica, sans-serif">DROP  =
; udp -- anywhere &nb=
sp; anywhere udp
dpt:domain </font></div><div><font face="arial, helvetica, sans-ser=
if">DROP tcp -- anywhere &nb=
sp; anywhere =
tcp dpt:domain </font></div><div><font face="arial, helvetica, sans-=
serif">ACCEPT udp -- anywhere  =
; my_dns_IP udp dpt:domain&=
nbsp;</font></div><div><font face="arial, helvetica, sans-serif">ACCEPT &=
nbsp; tcp -- anywhere =
my_dns_IP tcp dpt:domain </font></d=
iv><div><font face="arial, helvetica, sans-serif"><br></font></div><div><=
font face="arial, helvetica, sans-serif">Or j'ai certainement fait une er=
reur puisque je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout</=
font></div><div><font face="arial, helvetica, sans-serif">Quelqu'un peut-=
il
m'expliquer mon erreur ?</font></div><div><font face="arial, helvetica, =
sans-serif"><br></font></div><div><font face="arial, helvetica, sans-seri=
f">Je vous remercie.</font></div><div><font face="arial, helvetica, sans-=
serif"><br></font></div><div><font face="arial, helvetica, sans-serif"><b=
r></font></div><div><font face="arial, helvetica, sans-serif"><br></font>=
</div><div><font face="arial, helvetica, sans-serif"><br></font></div></d=
iv></div></body></html>
1613889061-1442183901-1333047642=:64680--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1333047642.64680.YahooMailNeo@web171601.mail.ir2.yahoo.com
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Bonsoir, Je suis un noob concernant Iptables je n'ai pas eu l'occasion=
de bien l'utiliser, donc je fais souvent des règles bancales qui me bloq=
uent. Par exemple je voudrais faire la règle suivante sur mon serveu=
r bloquer toute requête DNS à part vers l'ip de mon serveur DNS j'=
ai fait les règles suivantes iptables -I OUTPUT -p tcp -d my_dns_IP =
--dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j=
ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT=
-p udp --dport 53 -j DROP Chain INPUT (policy ACCEPT) target =
prot opt source destination =
Chain FORWARD (policy ACCEPT) target prot opt source=
destination Chain OUTP=
UT (policy ACCEPT) target prot opt source =
destination DROP udp -- anywher=
e anywhere udp dpt:domain =
DROP tcp -- anywhere anywhere =
tcp dpt:domain ACCEPT udp -- anyw=
here my_dns_IP udp dpt:domain A=
CCEPT tcp -- anywhere my_dns_IP =
tcp dpt:domain Or j'ai certainement fait une erreur puis=
que je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout Quelqu'u=
n peut-il m'expliquer mon erreur ? Je vous remercie.
1613889061-1442183901-1333047642=:64680
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style="color:#000; background-color:#fff; font-family:ar=
ial, helvetica, sans-serif;font-size:12pt"><div style="font-family: arial=
, helvetica, sans-serif; font-size: 12pt; ">Bonsoir,</div><div style="fon=
t-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></div><div s=
tyle="font-family: arial, helvetica, sans-serif; font-size: 12pt; ">Je su=
is un noob concernant Iptables je n'ai pas eu l'occasion de bien l'utiliser=
, donc je fais souvent des règles bancales qui me bloquent.</div><div sty=
le="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></d=
iv><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt=
; ">Par exemple je voudrais faire la règle suivante sur mon serveur bloqu=
er toute requête DNS à part vers l'ip de mon serveur DNS</div><div styl=
e="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><br></di=
v><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt;=
">j'ai fait
les règles suivantes</div><div style="font-family: arial, helvetica, s=
ans-serif; font-size: 12pt; "><br></div><div><div><font face="arial, helv=
etica, sans-serif">iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACC=
EPT</font></div><div><font face="arial, helvetica, sans-serif">iptables -=
I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT</font></div><div><font fa=
ce="arial, helvetica, sans-serif">iptables -I OUTPUT -p tcp --dport 53 -j=
DROP</font></div><div><font face="arial, helvetica, sans-serif">iptables=
-I OUTPUT -p udp --dport 53 -j DROP</font></div><div style="font-f=
amily: arial, helvetica, sans-serif; font-size: 12pt; "><br></div></div><di=
v style="font-family: arial, helvetica, sans-serif; font-size: 12pt; "><b=
r></div><div><div><font face="arial, helvetica, sans-serif">Chain INPUT (=
policy ACCEPT)</font></div><div><font face="arial, helvetica, sans-serif"=
>target prot opt source &n=
bsp;
destination </font></div><div><font face=
="arial, helvetica, sans-serif"><br></font></div><div><font face="arial=
, helvetica, sans-serif">Chain FORWARD (policy ACCEPT)</font></div><div><fo=
nt face="arial, helvetica, sans-serif">target prot opt sour=
ce destination &nbs=
p; </font></div><div><font face="arial, helvetica, san=
s-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">=
Chain OUTPUT (policy ACCEPT)</font></div><div><font face="arial, helvetic=
a, sans-serif">target prot opt source &n=
bsp; destination </fo=
nt></div><div><font face="arial, helvetica, sans-serif">DROP  =
; udp -- anywhere &nb=
sp; anywhere udp
dpt:domain </font></div><div><font face="arial, helvetica, sans-ser=
if">DROP tcp -- anywhere &nb=
sp; anywhere =
tcp dpt:domain </font></div><div><font face="arial, helvetica, sans-=
serif">ACCEPT udp -- anywhere  =
; my_dns_IP udp dpt:domain&=
nbsp;</font></div><div><font face="arial, helvetica, sans-serif">ACCEPT &=
nbsp; tcp -- anywhere =
my_dns_IP tcp dpt:domain </font></d=
iv><div><font face="arial, helvetica, sans-serif"><br></font></div><div><=
font face="arial, helvetica, sans-serif">Or j'ai certainement fait une er=
reur puisque je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout</=
font></div><div><font face="arial, helvetica, sans-serif">Quelqu'un peut-=
il
m'expliquer mon erreur ?</font></div><div><font face="arial, helvetica, =
sans-serif"><br></font></div><div><font face="arial, helvetica, sans-seri=
f">Je vous remercie.</font></div><div><font face="arial, helvetica, sans-=
serif"><br></font></div><div><font face="arial, helvetica, sans-serif"><b=
r></font></div><div><font face="arial, helvetica, sans-serif"><br></font>=
</div><div><font face="arial, helvetica, sans-serif"><br></font></div></d=
iv></div></body></html>
1613889061-1442183901-1333047642=:64680--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1333047642.64680.YahooMailNeo@web171601.mail.ir2.yahoo.com
Je voudrais juste préciser que j'ai lu la doc mais vite fait car j'ai un gros soucis donc pas le temps de rester sur la doc et que j'avais besoin de la règle rapidement d'où ma question pour tenter de gagner du temps, c'est dommage de constater que c'est toujours la même réaction de la part de certain , je sais bien que l'aide de la communauté n'est pas obligatoire et que c e n'est pas de la charité, mais se faire rabaisser à chaque fois c'est vraiment limite !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP il fallait fa ire le contraire ?
Merci pour ton explication
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Ouaip, enfin je crois.
L'ordre des règles a une importance. Tu peux insérer en début de chaîne
avec -I, ou ajouter en fin de chaîne avec -A.
En utilisant -I comme tu le fais, les dernières règles ajoutées
deviennent les premières à être appliquées, comme te le montre la sortie
d'iptables -L:
Quand tu envoies un paquet à ton serveur DNS, il est droppé par une des
deux premières règles. Les règles suivantes ne sont même pas examinées.
Les règles les plus spécifiques doivent donc précéder les règles plus
générales.
Ca devrait mieux se passer si:
* tu recommences, mais en exécutant les commandes DROP avant les
commandes ACCEPT
ou
* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu
d'un -I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne
des règles qui interfèrent)
Dans les deux cas, ça devrait donner quelque chose dans ce genre:
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere my_dns_IP udp dpt:domain
ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
P.-A.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Tahar BEN ACHOUR a message of 101 lines which said:
J'ai l'impression que les règles n'ont pas été tapées dans le bon
ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc
avaler tous les paquets.
Une option -v ajoutée à iptables permettrait de voir les compteurs et
de dire si j'ai raison ou pas.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Je vois merci beauco up pour ton aide, je m'exécute tout de suite
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Tahar BEN ACHOUR a message of 20 lines which said:
Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT
(c'est sans doute pour les raisons expliquées par Bzzz).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Merci pour votre aide
----- Mail o riginal -----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
bonne nouvelle
on est là pour ca, mais je voudrais, si vous me permettez, suggérer une
autre solution(peut etre plus simple)
iptables -P OUTPUT DROP
puis, tu autorise ce que tu veux. ce qui n'est pas autoriser est
interdit(implicitement). d'une manière générale, c'est comme ca qu'on
gère les firewall.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/