Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

iptables Default policy

ubuntuforce

Salut, les Linuxiens d'Ubuntu sécurité,
En définissant la police par défaut de iptables comme ca:

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP

Au début de mon script de firewall, je n'arrive plus a me connecter avec firefox a mon site en lo ou a 127.0.1.1: le navigateur tourne en boucle pourtant il y a des règles -j ACCEPT dans mon script.
Si je remplace DROP par ACCEPT dans la default policy ca marche, si vous avez une idée d'ou vient le problème ou si vous avez une solution merci de poster.
Si vous avez des infos a quoi sert la default policy, autrement si je la met a ACCEPT est-ce-que iptables accepterai toutes les connections sans évaluer les chaines de règle ?
Merci pour vos réponses.

vajpaille

Bonsoir,

Je ne connais absolument pas le FW d'ubuntu (Iptable/netfilter) mais n'est-ce pas un "first matching rule" ?

Firewall rules work from top to bottom. Very first rule that the traffic matches, it will use that rule.
So if you have an incorrect rule or a generic rule that the rule is matching, your other rules might not be triggered.

Essai pour voir de mettre des tes default rules en dernières.

Cdt,

ubuntuforce

Jai déjà essayer mais la police (default policy) est ce qu'il arrive par défaut a un paquet ce qui permet de tout interdire et de faire des règles autorisant les paquets. Mais je ne sais pas pourquoi ca affecte mon navigateur.
Merci d'avoir essayer de m'aider.
Peut-être est un phénomène qui arrive en local car j'ai un petit script pare-feu qui a une default policy a DROP et qui me permet seulement a me connecter a internet et ca marche sans problèmes...???

vajpaille

ubuntuforce a écritJai déjà essayer mais la police (default policy) est ce qu'il arrive par défaut a un paquet ce qui permet de tout interdire et de faire des règles autorisant les paquets. Mais je ne sais pas pourquoi ca affecte mon navigateur.
Merci d'avoir essayer de m'aider.
Peut-être est un phénomène qui arrive en local car j'ai un petit script pare-feu qui a une default policy a DROP et qui me permet seulement a me connecter a internet et ca marche sans problèmes...???

Pour moi une default policy est appliqué aux paquets n'ayant matché aucune autre règle.
les trois ligne que tu nous a donné interdisent tout, non ?
Pas d'input pas d'ouput.

ubuntuforce

Bon j'ai un serveur apache avec la configuration par défaut et le script de firewall suivant:

#!/bin/bash
sudo iptables -F
sudo iptables -X
# Default policy #############
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
##############################
# INPUT Rules ################
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.0.1 -m state --state NEW                 -m multiport --dport http,https -j ACCEPT
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.0.1 -m state --state ESTABLISHED,RELATED -m multiport --dport http,https -j ACCEPT
#############################
# OUTPUT Rules ##############
sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.0.1      -m state --state NEW                 -m multiport --sport http,https -j ACCEPT
sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.0.1      -m state --state ESTABLISHED,RELATED -m multiport --sport http,https -j ACCEPT
#############################

Qui ne marche pas car le navigateur configurer pour afficher 127.0.0.1 tourne en boucle infinis...???
J'aimerai savoir ce que je fait de travers, si quelqu'un peut m'expliquer ca serai sympa.

vajpaille

Salut,

Je te propose de tester en mettant tes trois règles tout en bas de ton fichier.
Au moins pour tester.

ubuntuforce

J'ai déjà essayer et puis j'ai repris mon script (d'essaie) de firewall zéro et ca marche avec une petite condition:

sudo iptables -F
sudo iptables -X
##############*
sudo iptables -P INPUT DROP 
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -A INPUT  -p tcp --in-interface lo  --destination 127.0.1.1 --tcp-flags ALL NONE -j DROP
#Suivis de plusieurs règles du même calibre que ce anti-NULL scan
sudo iptables -A INPUT  -p tcp -j ACCEPT # Le problème est que si je précise ne serai qu'un port de destination ca ne marche plus ou si je précise l'état NEW.
sudo iptables -A INPUT  -p tcp --in-interface lo --destination 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --dport 80,433 -j ACCEPT

sudo iptables -A OUTPUT -p tcp -j ACCEPT # Pareil si je précise ne serai ce qu'un port source ou l'état NEW ca ne marche plus.
sudo iptables -A OUTPUT -p tcp --out-interface lo --source 127.0.1.1 -m state --state ESTABLISHED,RELATED -m multiport --sport 80,443 -j ACCEPT

Le script précédent marche sur mon apache, le problème sont les ACCEPT isolé (sans options): si je ne peut même pas préciser un port de destination ou source a quoi sert le pare-feu ???
Je me sens isolé avec mon problème: pourquoi l'ACCEPT final n'accepte-t-il pas d'options: ni interfaces, adresses ou ports.
Si quelqu'un pourrai illuminer mon ignorance ca serai sympa.

erf

Iptables c'est vraiment se prendre le choux.

Ce code autorise la boucle local:

sudo iptables -j INPUT DROP
sudo iptables -j OUTPUT DROP
sudo iptables -j FORWARD DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

Les connexions établis:

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Ensuite pour les connexions client -> serveur

sudo iptables -t filter -A INPUT/OUTPUT -p tcp --dport 80 -j ACCEPT

sudo iptables -t filter -A INPUT/OUTPUT -p tcp --dport 443 -j ACCEPT

Si tu veux que ton serveur puisse créer des connexions de son propre chef je dirais que cette règle fait l'affaire:

sudo iptables -A OUTPUT  -m state --state NEW,ESTABLISHED -j ACCEPT

Si ton script ne marche c'est que les règle OUTPUT autorise seulement les ports 80, 443. Or ton navigateur ouvre un port au hasard au dessus de 1024.
La preuve par cette commande: netstat -atp

tcp        0      0 192.168.1.10:35924      adresse.distante:http ESTABLISHED 3900/chromium-browser

35924 est le port utiliser par chromium.

D’ailleurs il faut que le programme qui créer socket en dessous 1024 est un uid de 0. Un uid 0 signifie généralement que root a lancé ce programme.