Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

IPTABLES - VirtualBOX

asceltis

bonjour,
je me permet de poster ici pour que vous m'aidiez à y voir plus clair.

état des lieux :
- j'ai monté deux machines virtuelles sur virutaBox : l'une est un serveur web avec iptables et l'autre une machine X
- sur la premiere j'ai paramétré iptables comme suit :
étape 1 :

iptables -F
iptables -X

résultat : la machine distante ne peut pas se connecter en ssh -> normal

étape 2 :

iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

résultat : la machine distante peut se connecter en ssh -> normal

étape 3:

iptables -A INPUT -s x.x.x.x (adresse machine distante) -j DROP

résultat : la machine distante peut se connecter en ssh -> j'en perds mon latin...

un iptables-save et iptables -L montrent bien que les règles sont en places (que les 3 tapées plus haut)

je suis ouvert a toute aide et vous remercie d'avance

[supprimé]

Bonsoir,

asceltis a écritbonjour,
je me permet de poster ici pour que vous m'aidiez à y voir plus clair.

état des lieux :
- j'ai monté deux machines virtuelles sur virutaBox : l'une est un serveur web avec iptables et l'autre une machine X
- sur la premiere j'ai paramétré iptables comme suit :
étape 1 :
iptables -F
iptables -X
résultat : la machine distante ne peut pas se connecter en ssh -> normal

étape 2 :
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
résultat : la machine distante peut se connecter en ssh -> normal

étape 3:
iptables -A INPUT -s x.x.x.x (adresse machine distante) -j DROP
résultat : la machine distante peut se connecter en ssh -> j'en perds mon latin...

un iptables-save et iptables -L montrent bien que les règles sont en places (que les 3 tapées plus haut)

je suis ouvert a toute aide et vous remercie d'avance

Peux-tu nous montrer ce que te renvoient

iptables -L

pour chacune des étapes stp ?

asceltis

étape 1 :

Chain INPUT (policy DROP)
target        port  opt  source               destination

Chain FORWARD (policy DROP)
target        port  opt  source               destination

Chain OUTPUT (policy DROP)
target        port  opt  source               destination

etape 2 :

Chain INPUT (policy DROP)
target        port  opt  source               destination
ACCEPT   all     --    anywhere           anywhere

Chain FORWARD (policy DROP)
target        port  opt  source               destination

Chain OUTPUT (policy DROP)
target        port  opt  source               destination
ACCEPT   all      --    anywhere          anywhere

etape 3 :

Chain INPUT (policy DROP)
target        port  opt  source               destination
ACCEPT   all     --     anywhere          anywhere
DROP       all     --     192.168.2.200  anywhere

Chain FORWARD (policy DROP)
target        port  opt  source               destination

Chain OUTPUT (policy DROP)
target        port  opt  source               destination
ACCEPT   all      --    anywhere          anywhere

j'avoue que je ne comprends pas pourquoi cela n'empêche pas ma machine distante de se connecter

tiramiseb

Salut,

Tu as mis la règle "ACCEPT source anywhere destination anywhere" avant la règle "DROP source 192.168.2.200 destination anywhere".
Donc ton paquet, quand il rentre dans la chaîne INPUT, il rencontre cette règle "ACCEPT" qui autorise tout dans tous les sens et il est autorisé.

Si tu veux placer une règle *avant* les autres, il faut utiliser l'option "-I" (insert) d'iptables, pas l'option "-A" (append).

Par ailleurs, pourquoi utiliser iptables et pas ufw ?

asceltis

hum... ok je comprend mieux. En faite le programme lit de haut en bas..donc la regle ACCEPT etant just avant mon ban ca passe... ok merci bien

pourquoi iptables? car je n'ai pas trop le choix, c'est pour un tp de fac

merci encore

tiramiseb

Ah oui, forcément, si c'est pour un TP... 🙂

Je tiens à te préciser que les règles suivantes, bien que fonctionnelles, ne servent normalement à rien :

iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

En effet, l'action inconditionnelle est la "policy", qui se configure avec l'option "-P" :

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

asceltis

oui merci bien de l'info

en faite j'avais flush toutes les règles iptables (qui était conséquent) et mis juste ces deux régles pour tenter de comprendre d'ou venait le problème ^^

merci encore en tout cas