Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptables - configuration

Redraven

Bien le bonjour !

J'ai lu des dizaines d'articles, tutos et posts sur des forums, j'ai bidouillé dans tous les sens, en modifiant/supprimant chaque règle une par une. Et malgré tout je me pose toujours des questions sur mon IPtables...

Il ressemble à ceci :

      
## On drop les scans XMAS et NULL.
      iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
      iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
      iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
      iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
      
      # Dropper silencieusement tous les paquets broadcastés.
      iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
      	
      # Droping all invalid packets
      iptables -A INPUT -m state --state INVALID -j DROP
      iptables -A FORWARD -m state --state INVALID -j DROP
      iptables -A OUTPUT -m state --state INVALID -j DROP
      	
      # Autorise les connexions déjà établies et localhost				
      iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT		
      iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT 	
      iptables -A INPUT -i lo -j ACCEPT 							
      #iptables -A OUTPUT -o lo -j ACCEPT
      
      #TOR
      #iptables -A INPUT -p tcp -m tcp --dport 9050 -j ACCEPT
      iptables -A OUTPUT -p tcp -m tcp --dport 9050 -j ACCEPT
      
      # DNS											
      iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT					
      iptables -A OUTPUT -p udp --dport 53 -j ACCEPT 					
      #iptables -A INPUT -p tcp --dport 53 -j ACCEPT 					
      #iptables -A INPUT -p udp --dport 53 -j ACCEPT 
       
      # HTTP 											
      iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT				
      #iptables -A INPUT -p tcp --dport 80 -j ACCEPT	
      	
      #HTTPS
      iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT					
      #iptables -A INPUT -p tcp --dport 443 -j ACCEPT	
      	
      # Mail SMTP 
      #iptables -A INPUT -p tcp --dport 25 -j DROP
      iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT  
      #iptables -A INPUT -p tcp --dport 587 -j DROP
      #iptables -A OUTPUT -p tcp --dport 587 -j DROP

	#Transmission
	iptables -A INPUT -m state --state ESTABLISHED -p udp --dport 51413 -j 	
	ACCEPT
	iptables -A OUTPUT -p udp --sport 51413 -j ACCEPT
      	
      # NTP (horloge du serveur) 
      iptables -A OUTPUT -p udp --dport 123 -j ACCEPT	
      
      # On log les paquets en entrée.
      iptables -A INPUT -j LOG

	# On log les paquets en sortie.
	iptables -A OUTPUT -j LOG
       
      # On log les paquets forward.
      iptables -A FORWARD -j LOG 		 		
      
      exit 0

J'ai retrouvé les premiers blocs un peu partout, et j'ai plus ou moins compris leur fonctionnement. Mon problème est pour la suite : il me semble avoir tout fait pour laisser passer le trafic de manière à pouvoir utiliser transmission et surfer sur internet. Donc, normalement, en supprimant la ligne acceptant les Established, je devrais pouvoir accéder au net.

Sauf que non. Du coup, je commence de plus en plus à avoir l'impression que seule les règles established me permettent d'accéder au net, et non le reste des règles.

J'ai beau lire et relire des docs, je ne comprend pas...

Un peu d'aide, s'il vous plait ? Merci d'avance.

[edit modo : ajout de balises de code, pour plus de lisibilité]

bruno

Bonjour,

Telles quelles tes règles ne servent strictement à rien. Je me demande d'ailleurs ce qui tu fais croire qu'un pare-feu puisse être utile.

Spino1

Bonjour,

Iptables ce n’est pas facile, peut être as tu un problème d’étudiant, si ce n’est pas le cas il vaut mieux utiliser UFW, ou GUFW ( avec interface graphique ), mais dans ce dernier il est moins aisé de gérer l’ordre des règles.

Ton problème est l’ordre des règles, dans la plupart des pare feu, la première règle qui peut s’appliquer en partant du haut est la bonne, dans UFW il y a des stratégies par défaut ( entrées, sorties, transit ), si tu as tout bloqué, et pas créé les bonnes règles ensuite, rien ne passe, ou pas grand chose.

Tu vas avoir du mal à trouver des conseils dans la gestion effective d’un pare feu Linux, à part dans les grandes lignes, la preuve, quelques uns tentent parfois d’en dissuader l’usage.
Il est vrai que sous Ubuntu, même si les ports sont ouverts dans le réseau local, il n’y a pas de service ouvert normalement, donc pas de danger « d’exploits » pour un internaute basique.
Mais si tu veux vraiment être en sécurité, parce que certains ports sont en écoute sur la boucle, et que l'accès à cette boucle est très prisé par des gens pas toujours bien intentionnés, et qu'un service ça peut s'ouvrir, active un pare feu, en plus de ne jamais utiliser ton code root à mauvais escient.

piolet

bonjour,
il faut aussi penser à IPV6. Faire des règles avec ip6tables.

Redraven

Bonjour,

Un pare-feu ne m'est pas vraiment utile, machine de bureau oblige. Mais me connectant souvent en déplacement sur de nombreux réseaux, ça ne peux pas faire de mal.

Surtout, il y a la curiosité : j'ai lu un article sur IPtables, et j'ai voulu comprendre comment ça fonctionne. Aussi, je lis plusieurs guides sur TCP/IP etc., bref les bases des réseaux, et c'est une assez bonne application pratique, essayer de comprendre chaque ligne du script et l'optimiser, le tout avec scans pour voir ce qui change.

Oui, j'ai fais les mêmes règles avec ip6tables. D'ailleurs, qui pose un problème supplémentaire : en iptables ipv4, smtp passe, après ip6tables, non. Alors que même code. Je ne comprend plus.

Quand à UFW / GUFW, j'avoue que j'espérais pouvoir maîtriser IPtables directement, plutôt que de passer par un intermédiaire. Mettre un peu les mains dans le cambouis, en somme.

Je relance mon appel à un peu d'aide ahah.

 iptables -A INPUT -i lo -j ACCEPT 							
#iptables -A OUTPUT -o lo -j ACCEPT
   
      # DNS											
      iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT					
      iptables -A OUTPUT -p udp --dport 53 -j ACCEPT 					
      #iptables -A INPUT -p tcp --dport 53 -j ACCEPT 					
      #iptables -A INPUT -p udp --dport 53 -j ACCEPT 
       
      # HTTP 											
      iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT				
      #iptables -A INPUT -p tcp --dport 80 -j ACCEPT	
      	
      #HTTPS
      iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT					
      #iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Même mon code minimal, qui me semble pourtant correct, ne fonctionne pas sans

 iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT		
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

Spino1

Redraven a écritBonjour,
Un pare-feu ne m'est pas vraiment utile, machine de bureau oblige. Mais me connectant souvent en déplacement sur de nombreux réseaux, ça ne peux pas faire de mal.

Pour ton problème de formation « dans le cambouis », personnellement je n’ai aucune envie de remettre le nez dans la syntaxe d’Iptables, la différence avec UFW, celui ci est plus simple pour quasi le même résultat, ce qui n’est pas négligeable, surtout pour quelqu’un qui apprend le réseau.

Si tu es « souvent en déplacement sur de nombreux réseaux », ta priorité, principalement en wifi, c’est le VPN, avec un Ubuntu non bidouillé et OpenVPN, ou le PPTP si ton serveur l’accepte ( les miens non ), ton IP locale ne pourra pas être spoofée.
Les règles pare feu sans se prendre la tête ?… input forward DROP, output ACCEPT, c’est largement suffisant.

Bonne formation.

Redraven

Merci bien !

Je suis en arrêt longue durée et en profitait donc pour tout configurer. Je sais configurer un VPN (du moins je savais le faire il y a 3/4 ans et j'ai mes notes quelques part), c'est ma prochaine étape.

Oui. J'y avais bien pensé. mais avec simplement ces 3 règles, rien ne marche.

C'est compréhensible pour Tranmission, je veux dire, nécessairement besoin d'ouvrir un input pour télécharger, et ça j'y arrive.

Mais pas moyen d'accéder au net sans les dites règles established (et sans autoriser lo en input).

Quand à ufw, si je n'arrive à rien avec iptables d'ici deux semaines, je ferai la transition vers un peu plus de simplicité.

bruno

Tu as bien compris que l'utilisation d'un pare-feu sur une machine de bureau (ou même sur un serveur unique) n'a pas tellement de sens quoiqu'en disent certains « spécialistes »…
Le rôle d'un pare-feu est de filtrer le trafic réseau. On a très rarement besoin de filtrer le trafic en provenance et à destination d'une seule et même machine, y compris si cette machine héberge quelques services : on doit d'abord sécuriser ces services avant de réfléchir à la pertinence de règles de filtrage à destination et en provenance de ceux-ci.
En général, le besoin de filtrage est entre deux réseaux, l'Internet et un réseau privé local par exemple.

Maintenant si c'est pour apprendre je te conseille de commencer par lire la doc [doc]iptables[/doc]

jlmas

Regarde quelle est la politique par défaut des ip(6)tables

Extrait du retour de la commande

sudo iptables -L

Chain INPUT (policy ACCEPT)

Je te conseille pour débuter et comprendre iptables (et aussi ip6tables) de rester en politique par défaut ACCEPT pour les 3 chaînes INPUT FORWARD et OUTPUT

Par exemple

sudo iptables -P  INPUT ACCEPT

sudo iptables -L -v

Te donnera les compteurs afin de voir quelle règle est validée

sudo iptables -Z

Remet les compteurs à zéro

C'est très utile pour voir quelle action active quelle règle

Quand ta politique par défaut est ACCEPT, la dernière règle a mettre est un DROP

iptables -A INPUT -j DROP

Enfin autorise tout sur le loopback, il est très utilisé pour les services internes indispensable au fonctionnement de l'ordi

Redraven

Merci à tous !

Oui, je vais lire l'intégralité de la doc iptables, je vient de commencer.

Ceci dit, j'ai abouti à un set de règles qui marche bien, avec un nombre de lignes minimal, et où iptables -L -v semble avoir du sens. Plus qu'à bidouiller pour comprendre le reste dont je n'ai pas besoin ahah.

J'ai juste un problème : j'avais lu que pour ip6tables, il suffisait de transposer les règles d'iptables. Donc, tout content d'avoir un iptables fonctionnel, je l'ai fait. Et là, smtp ne passe plus. Je n'arrive pas à comprendre comment iptables seul laisse passer smtp, mais les exactes même règles en ip6tables, en plus d'iptables, bloque smtp.

Pour rappel, j'en suis à :

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Autorise les connexions déjà établies et localhost				
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT		
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT 	
iptables -A INPUT -i lo -j ACCEPT 							

#TOR
iptables -A OUTPUT -p tcp -m tcp --dport 9050 -j ACCEPT

# DNS											
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT					
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT 					
 
# HTTP 											
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT				
	
#HTTPS
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT					
	
# Mail SMTP 
#iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT  
#iptables -A INPUT -p tcp --dport 587 -j DROP
#iptables -A OUTPUT -p tcp --dport 587 -j DROP

#Transmission
iptables -A INPUT -p udp --dport 51413 -j ACCEPT
iptables -A OUTPUT -p udp --dport 51413 -j ACCEPT
	
# NTP (horloge du serveur) 
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

Tout fonctionne. Avec l'identique en ip6tables, tout fonctionne, sauf smtp.

Spino1

Redraven a écrit Tout fonctionne. Avec l'identique en ip6tables, tout fonctionne, sauf smtp.

Regarde voir du côté du conntrack ipv6, bon courage !...

Redraven

Et un peu plus de lecture ahah.

Ceci dit, j'ai du mal à comprendre pourquoi tout fonctionne (dns, http, https, torrent, ntp), mais pas smtp. Se pourrait-il que msmtp utilise un autre port que 25/465/587, ou il y a t-il une autre raison ?
Si c'était une particularité de ipv6, aucune de mes règles ne devrait fonctionner, non ?

bruno

Cela dépend de ta configuration de msmtp pas de règles iptables qui sont a priori les mêmes pour ipv4 et ipv6.

Redraven

C'est tout le problème : avec iptables, juste en autorisant le port 25, ça passe.
En ip6tables, en autorisant juste le même port, ça ne fonctionne plus.
Idem avec 465 et 587.

Je n'y comprend plus rien, pourquoi tout fonctionnerai en iptables mais pas ip6tables ? pourquoi avec ip6tables, tout fonctionne sauf smtp ?

bruno

Comment est configuré msmtp ?
Un service peut très bien être configuré pour n'écouter qu'en IPv4.

Redraven

On touche à la limite de mes compétences.

L'idée qui m'est venu à l'esprit est que msmtp doit systématiquement passer par ipv6, d'où le fait qu'il fonctionne lorsque seul iptables est configuré. Et qu'il ne fonctionne plus dès que ip6tables est configuré.
Cela veut tout de même dire que msmtp utilise autre chose que les 3 ports mentionnés dans sa doc (25/465/587)... Et je ne trouve rien dans la doc ou sur des forums etc.

EDIT : je raconte n'importe quoi. Si je drop le traffic sur 25 en iptables, smtp ne fonctionne pas non plus. Raaaaaah. Je suis perdu.

Il semblerait qu'il me faut ouvrir 25 en iptables, et autre chose en ip6tables, mais quoi ?

bruno

Si tu ne réponds pas aux questions, on ne va avancer…

Sous Ubuntu msmtp n'utilise aucun port (le démon msmtpd n'est pas fourni), il se contente de transférer les courriels au serveur indiqué dans sa configuration.

Quand tu parles de « drop » (couper en bon français) le trafic sur le port 25, parles-tu du trafic entrant ou sortant ?

Redraven

Mes excuses :

account default
tls on
port 587
host smtp.gmail.com
from *****
auth on
user ******
password ******
tls_starttls on
tls_certcheck on
tls_trust_file /etc/ssl/certs/ca-certificates.crt

Sortant, mais c'est normal. C'était juste un test. Faudrait que je retente. Parce que je ne comprend même pas comment iptables laisse passer smtp alors que seul 25 est autorisé, pas 587.

Il semblerait que msmtp ait besoin d'ipv4 et ipv6. Si je bloque l'un ou l'autre, rien ne marche.

Spino1

Il faudrait aussi regarder si le FAI laisse passer l’IPV6, ce n’est pas garanti.

Je me permets encore de faire remarquer qu’avant de vouloir gérer Netfilter à l’ancienne avec une syntaxe Iptables, il faut au moins être capable de déchiffrer un journal réseau ( UFW, Wireshark ou autre ).

Iptables, contrairement à UFW, c’est règles IPV4 + IPV6, il faudrait nous montrer toutes tes règles pour y voir plus clair.

Redraven

Si, mon FAI laisse passer, ipv4 et ipv6.

De toute manière, c'est simple, si avec ip6tables tout en drop smtp ne fonctionne plus, c'est nécessairement qu'il utilisait ipv6, non ?

J'y arrive plus ou moins. J'ai même utilisé Wireshark pile au moment de l'envoi de message par msmtp. Pas plus d'infos que la connexion à smpt.gmail.com:587 ne se fait pas.

iptables est en haut, voici pour ip6tables :

ip6tables -F
ip6tables -X
ip6tables -t nat -F
ip6tables -t nat -X
ip6tables -t mangle -F
ip6tables -t mangle -X
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP 

# Autorise les connexions déjà établies et localhost                
ip6tables -A INPUT -m state --state ESTABLISHED -j ACCEPT       
ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT  
ip6tables -A INPUT -i lo -j ACCEPT                          
#ip6tables -A OUTPUT -o lo -j ACCEPT


#TOR
ip6tables -A OUTPUT -p tcp -m tcp --dport 9050 -j ACCEPT

# ICMP (Ping)                                       
ip6tables -A INPUT -p icmpv6 -j ACCEPT                      
ip6tables -A OUTPUT -p icmpv6 -j ACCEPT

# DNS                                           
ip6tables -A OUTPUT -p tcp --dport 53 -j ACCEPT                 
ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT                     

# HTTP                                          
ip6tables -A OUTPUT -p tcp --dport 80 -j ACCEPT             


#HTTPS
ip6tables -A OUTPUT -p tcp --dport 443 -j ACCEPT                        


# Mail SMTP 

ip6tables -A INPUT -p tcp --dport 25  -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 25 -j ACCEPT  
ip6tables -A INPUT -p tcp --dport 587 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 587 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 465 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 465 -j ACCEPT


#Transmission
ip6tables -A INPUT -p udp --dport 51413 -j ACCEPT
ip6tables -A OUTPUT -p udp --sport 51413 -j ACCEPT


# NTP (horloge du serveur) 
ip6tables -A OUTPUT -p udp --dport 123 -j ACCEPT    

# On log les paquets en entrée.
ip6tables -A INPUT -j LOG


exit 0

Page suivante »