| View previous topic :: View next topic |
| Author |
Message |
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
 Posted: Tue Aug 17, 2004 7:33 pm Post subject: [IPTABLES ?] pb avec un routeur (resolu) |
 |
|
hi,
j'ai un modem routeur (Linksys AG041) qui sert aussi de switch.
Mon laptop se connecte dessus en dhcp. Et du coup, je n'arrive pas a configurer iptables, parce que les ports sont forwardés et je sais pas comment. Exemple :
1er coup:
eth0 received address 192.168.1.106
je me connecte sur google (port http = 80) et je loggue les paquets avec iptables:
... IN= OUT=eth0 SRC=192.168.1.106 DST=66.102.11.104 ... PROTO=TCP SPT=33148 DPT=80
2eme coup
je restarte eth0 : * eth0 received address 192.168.1.107
et rebelotte:
IN= OUT=eth0 SRC=192.168.1.107 DST=203.112.31.164 ... PROTO=TCP SPT=33149 DPT=80
et la le SPT a changé (il a pris +1)
La doc du constructeur ne dit pas comment il forwarde les ports, le site web non plus.
et du coup je ne sais plus comment configurer iptables 
une idée ? une astuce ? une doc ?
est ce qu'il faut que je fasse un truc du genre
- paquets entrants filtrés sur sport
- paquets sortants filtrés sur dport
??
Last edited by marvin rouge on Wed Aug 18, 2004 5:29 pm; edited 2 times in total |
|
| Back to top |
|
 |
scout
Veteran
Joined: 08 Mar 2003
Posts: 1991
Location: France, Paris en Semaine / Metz le W-E
|
| Posted: Tue Aug 17, 2004 9:19 pm Post subject: Re: [IPTABLES ?] pb avec un routeur |
|
|
| marvin rouge wrote: | est ce qu'il faut que je fasse un truc du genre
- paquets entrants filtrés sur sport
- paquets sortants filtrés sur dport |
euh, moi c'est ce que j'ai toujours fait (en très gros), routeur ou pas routeur ...
En fait il suffit de configurer les paquets sortant sur dport, ensuite tu utilises le module state de iptables en disant: les paquets entrants autorisés sont ceux qui sont en relation avec une connection sortante, plus ceux ou le dport correspond à un des ports de mes serveurs.
oui, en fait grace au modules state, on n'utilise quasiment jamais le sport pour iptables
J'ai mis du temps à comprendre ce que tu ne comprenais pas ...
Voilà ce que j'ai compris de ta pensée:
je veux un firewall, il faut donc que je filtre les paquets sortants et les entrants;
pour les sortant c'est facile, je laisse sortir tout ce qui a un dport=80
mais pour l'entrée je ne peux pas laisser rentrer tout ce qui a un sport=80 car même si ça me permettrais de continuer à surfer, des attaquants peuvent m'envoyer des paquets avec sport=80 et passer à travers tout !
Donc là tu utilises le module state de iptables, en gros tu fais:
je laisse sortir tout ce qui a un dport=80
et puis je laisse entrer tout ce qui est issu d'une connection sortante (grace au module state)
et en plus je laisse rentrer ce qui a un dport=22 car je veux pouvoir me connecter en ssh à ce portable ! (c'est un exemple)
j'ai pas d'exmples du module sous la main, mais il doit y en avoir plein qui trainent
maintenant ce qui se passe c'est:
si un paquet a été envoyé à google (destination=google sport=n et dport=80), le paquet retour (provenance=google, sport=80, dport=n) passe grace au module state, alors que le paquet qui provient de haquerlapanete sport=80 dport=m ne passe pas car tu n'a pas au préliminaire envoyé un paquet à destination de haquerlapanete sport=m dport=80
J'espère avoir bien répondu à ta question.
au fait si tu veux voir les paquets en temps réels, plutôt que de regarder les logs de iptable, il y a le programme tcpdump
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Tue Aug 17, 2004 9:37 pm Post subject: |
|
|
ok. et merci pour ton aide. 
donc si j'ai bien compris, ca va donner en gros ca:
#on droppe tout a la base
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#par exemple pour surfer (80) on accepte les connections en sortie
iptables -A OUTPUT -p tcp --dport www -j ACCEPT
#pour tout ce qui rentre (excepté les ports de mes serveurs, on fera des regles speciales)
#si c'est un paquet qui est relié a une connection on accepte l'entrée
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
je crois que j'ai les idees + claires. et je vais regarder tcpdump, ca sera surement + simple que de tous logger avec iptables  |
|
| Back to top |
|
|
scout
Veteran
Joined: 08 Mar 2003
Posts: 1991
Location: France, Paris en Semaine / Metz le W-E
|
| Posted: Wed Aug 18, 2004 8:30 am Post subject: |
|
|
| marvin rouge wrote: | | donc si j'ai bien compris, ca va donner en gros ca: |
oui c'est exactement ça
au fait tcpdump ne sait logger que les paquets qui passent, bien sur .... j'avais oublié de le préciser 
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
| Back to top |
|
|
Jeremy_Z
l33t
Joined: 05 Apr 2004
Posts: 671
Location: Shanghai
|
| Posted: Wed Aug 18, 2004 8:40 am Post subject: |
|
|
Tu es sur ?
Il récupère les packets avant tout traitement c'est d'ailleurs comme ca qu'il récupère des packets qui ne sont pas destinés à ton interface ethernet (adresse MAC différente).
D'ailleurs c'est aussi comme ca qu'on peut faire du port knocking.
_________________
"Because two groups of consumers drive the absolute high end of home computing: the gamers and the porn surfers." /.
My gentoo projects, Kelogviewer and a QT4 gui for etc-proposals |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Wed Aug 18, 2004 9:31 am Post subject: |
|
|
du point de vue sécurité/efficacité est ce qu'il y a une contre-indication a faire (pour une machine dont je suis le seul utilisateur) :
#on droppe tout ce qui rentre et le forward
iptables -P INPUT DROP
iptables -P FORWARD DROP
#on accepte tout ce qui sort
iptables -P OUTPUT ACCEPT
#on accepte en entree les etablis/related
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
et pis c'est tout (modulo les ports serveurs)
--> pas de regles specifique pour la sortie.
?? |
|
| Back to top |
|
|
scout
Veteran
Joined: 08 Mar 2003
Posts: 1991
Location: France, Paris en Semaine / Metz le W-E
|
| Posted: Wed Aug 18, 2004 12:38 pm Post subject: |
|
|
n'oublie pas de faire aussi
$IPTABLES -A INPUT -i lo -j ACCEPT
et puis il y a aussi
$IPTABLES -A INPUT -m state --state INVALID -j DROP
que j'ai retrouvé dans mon vieux script iptables et qui peut être pratique
sinon ce que tu proposes est un firewall assez "light", par rapport à d'autres, mais ça devrait très bien marcher
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Wed Aug 18, 2004 5:28 pm Post subject: |
|
|
merci !
en re-relisant la doc gentoo , j'ai remis a jour mon script iptables
scout:
| Quote: | | en fait grace au modules state, on n'utilise quasiment jamais le sport pour iptables |
c'est ca que j'avais pas compris 
++ |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Wed Aug 18, 2004 5:40 pm Post subject: Re: [IPTABLES ?] pb avec un routeur |
|
|
| scout wrote: |
maintenant ce qui se passe c'est:
si un paquet a été envoyé à google (destination=google sport=n et dport=80), le paquet retour (provenance=google, sport=80, dport=n) passe grace au module state, alors que le paquet qui provient de haquerlapanete sport=80 dport=m ne passe pas car tu n'a pas au préliminaire envoyé un paquet à destination de haquerlapanete sport=m dport=80
|
c bien clair scout (j'ai même compris  )
mais si je peux faire une remarque non constructive et totalement off : ça s'ecrit comme ça hacker donc hackerlapanete sport=80.
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
scout
Veteran
Joined: 08 Mar 2003
Posts: 1991
Location: France, Paris en Semaine / Metz le W-E
|
| Posted: Thu Aug 19, 2004 8:09 am Post subject: Re: [IPTABLES ?] pb avec un routeur |
|
|
| sireyessire wrote: | c bien clair scout (j'ai même compris )
mais si je peux faire une remarque non constructive et totalement off : ça s'ecrit comme ça hacker donc hackerlapanete sport=80. |
la traduction de hacker c'est pirate et le juste terme était donc:
"piraterlapanete sport=80" ...
Bon va voir tous ces films et après on en reparle (j'en ai vu 4 sur les 7)
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Thu Aug 19, 2004 11:21 am Post subject: |
|
|
officiellement non hacker n'est pas pirater mais le terme qui s'en rapproche le plus serait cracker...
La grosse différence entre les 2 est que le second est motivé par la destruction et l'annihilation  alors que le premier ne chercha pas à détruire.
BTW, on est grave hors topic là donc on va finir sur ICQ... (au fait moi aussi j'en ai vu 4 )
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
|
French
