| View previous topic :: View next topic |
| Author |
Message |
yesi
Guru
Joined: 25 Oct 2004
Posts: 331
|
 Posted: Sun Nov 14, 2004 3:37 pm Post subject: [iptables]bittorent et les ports du monde... |
 |
|
bonjour,
j'ai un petit soucis pas très gros mais ça me tracasse un peu...
je m'initie à iptables par ligne de commande.
j'ai juste un simple pc, avec une connection par wifi par dhcp et quelques services qui marchent dessus et entre autre bittorrent qui est lancé de temps en temps...
mais malgré mes différentes tetatives, et mes lectures sur les forums, je n'y suis pas arrivé à faire marcher bittorrent ( oh! parfois 1ko/s sur un torrent mais jamais comme quand je laisse tout ouvert, tout booste d'un seul coup...).
et voici mon iptables, en espérant que vous verrez quelque chose de mauvais que je ne verrais pas...
merci d'avance.
| Quote: |
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
#
# pas de icmp
#
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# DHCP
iptables -A INPUT -i wlan0 -p udp --dport 67:68 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# service web http
iptables -A OUTPUT -o wlan0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
# https
iptables -A OUTPUT -p tcp --dport 443 -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# service ntp
iptables -A INPUT -i wlan0 -p udp --source-port 123 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p udp --destination-port 123 -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --source-port 123 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p tcp --destination-port 123 -j ACCEPT
# pop
iptables -A OUTPUT -p tcp --dport 110 -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# smtp
iptables -A OUTPUT -p tcp --dport 25 -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# IRC
iptables -A OUTPUT -p tcp --dport 6667 -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 6667 -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Passive and active FTP
iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
# Pour Bittorrent
iptables -A OUTPUT -o wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
|
|
|
| Back to top |
|
 |
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sun Nov 14, 2004 3:50 pm Post subject: Re: [iptables]bittorent et les ports du monde... |
|
|
| yesi wrote: | bonjour,
| Quote: |
i
# Pour Bittorrent
iptables -A OUTPUT -o wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
|
|
oui tu as pas ouvert le port pour les trackers
6868 si je me souviens bien
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
yesi
Guru
Joined: 25 Oct 2004
Posts: 331
|
| Posted: Sun Nov 14, 2004 4:28 pm Post subject: |
|
|
le tracker c'est le 6969.
mais là j'ai déjà une plage de ports ouverts: 6881--->6999 |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sun Nov 14, 2004 4:29 pm Post subject: |
|
|
| yesi wrote: | le tracker c'est le 6969.
mais là j'ai déjà une plage de ports ouverts: 6881--->6999 |
oki je croyais que ct 6868 c'est pour ça
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
tippex
n00b
Joined: 28 Oct 2004
Posts: 1
|
| Posted: Mon Nov 15, 2004 7:35 am Post subject: |
|
|
| Quote: | # Pour Bittorrent
iptables -A OUTPUT -o wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --dport 6881:6999 --syn -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
|
A mon avis : enleve les --syn et ca devrais mieux marcher
De plus, dans cette configuration , ton firewall ne sert strictement à rien :
à cause des ces lignes
| Quote: |
iptables -A INPUT -i wlan0 -p udp --source-port 123 -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --source-port 123 -j ACCEPT
|
Tout le monde à accès à tout les ports de ta machine du moment que le port source 123 soit utilisé |
|
| Back to top |
|
|
yesi
Guru
Joined: 25 Oct 2004
Posts: 331
|
| Posted: Mon Nov 15, 2004 2:25 pm Post subject: |
|
|
j'ai donc corrigé comme ci-dessous:
pour le ntp
| Quote: | iptables -A INPUT -i wlan0 -p udp --source-port 123 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o wlan0 -p udp --destination-port 123 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --source-port 123 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o wlan0 -p tcp --destination-port 123 -m state --state ESTABLISHED,RELATED -j ACCEPT |
et j'ai supprimer le --sync (mais j'avais déjà essayé avant et le résultat n'était pas au rendez-vous...)
je me demande aussi si ce n'est pas lié au modem wifi qui fait aussi office de routeur...
parce que là le problème reste entier.
et lbittorrent marche très bien si je rajoutte ces deux lignes:
| Quote: | iptables -A OUTPUT -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
|
mais bon ce n'est plus ce que j'aimerais voir... |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
