Iptables et XNap?!
Iptables et XNap?! - Débats - Linux et OS Alternatifs
Marsh Posté le 24-10-2002 à 17:38:32
et en ouvrant aussi en udp?
---------------
"Je brandirai une épée d'orichalque, je m'assouvirai sur des Templiers." | "Avec dans son sillage l'Ombre du Diable, Leirn appelait les morts pour une danse macabre et déchainaît les horreurs de la nuit..."
Marsh Posté le 24-10-2002 à 17:43:16
| El_ShAman___ a écrit a écrit : J'ai mis en place les iptables et cela fonctionne bien pour la navigation internet, l'IRC, etc. mais pas pour le logiciel de P2P XNap ( xnap.sourceforge.net )! XNap est configuré pour utiliser le port 6699 (c'est ce qui est marqué dans les proprités du plugin OpenNap). J'ai donc voulu ouvrir ce port en faisant: iptables -A INPUT -i ppp0 --protocol tcp --source-port 6699 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6699 -m state --state NEW,ESTABLISHED -j ACCEPT j'ai aussi essayé: iptables -A INPUT -i ppp0 --protocol tcp --source-port 6699 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6699 -j ACCEPT mais cela ne fonctionne pas, XNap ne trouve aucun serveur  Si je réouvre tous les ports, il n'y a plus de problème. Pour l'instant, mes ports ouverts sont: 25, 53, 80, 110, 119, 2401, 6667. Tout le reste est rejetté. Je suis connecté au câble par les interfaces eth0 et ppp0. |
en fait, moi j'aurais plutot fait ca:
iptables -A INPUT -i ppp0 -p tcp --dport 6699 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 6669 -j ACCEPT
afin que tes paquets soient acceptes vers ton port 6699 local et sortent de ton port 6699 local
edit: en faisant comme toi avec le --state, tu empeches les utilisateurs de se connecter sur ton port 6699, dont tu n'uploadera pas
Message édité par apolon34 le 24-10-2002 à 17:44:05
Marsh Posté le 24-10-2002 à 17:59:03
J'ai essayé:
iptables -A INPUT -i ppp0 -p tcp --dport 6699 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 6699 -j ACCEPT
et la même chose avec l'udp mais ça ne passe pas.
Si je fais un "netstat -a" j'obtiens ce résultat:
tcp 0 0 *:6699 *:* LISTEN
tcp 0 0 *:daytime *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 *:auth *:* LISTEN
tcp 0 0 *:ipp *:* LISTEN
tcp 0 1 ca-bordeaux-4-114:42923 pD9E58672.dip.t-di:3456 SYN_SENT
tcp 0 1 ca-bordeaux-4-114:42912 PPPa400.tokyo-ip.d:3456 SYN_SENT
tcp 0 1 ca-bordeaux-4-114:42935 user-0c93b2c.cable:7777 SYN_SENT
tcp 0 1 ca-bordeaux-4-114:42931 c171152.adsl.hanse:8888 SYN_SENT
tcp 0 1 ca-bordeaux-4-114:42947 p5080DFB3.dip.t-di:3456 SYN_SENT
tcp 0 1 ca-bordeaux-4-114:42941 d87114.upc-d.chell:8888 SYN_SENT
etc.
Je fais quoi??! 
Marsh Posté le 24-10-2002 à 18:21:10
| El_ShAman___ a écrit a écrit : J'ai essayé: iptables -A INPUT -i ppp0 -p tcp --dport 6699 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 6699 -j ACCEPT et la même chose avec l'udp mais ça ne passe pas. Si je fais un "netstat -a" j'obtiens ce résultat: tcp 0 0 *:6699 *:* LISTEN tcp 0 0 *:daytime *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 0 *:auth *:* LISTEN tcp 0 0 *:ipp *:* LISTEN tcp 0 1 ca-bordeaux-4-114:42923 pD9E58672.dip.t-di:3456 SYN_SENT tcp 0 1 ca-bordeaux-4-114:42912 PPPa400.tokyo-ip.d:3456 SYN_SENT tcp 0 1 ca-bordeaux-4-114:42935 user-0c93b2c.cable:7777 SYN_SENT tcp 0 1 ca-bordeaux-4-114:42931 c171152.adsl.hanse:8888 SYN_SENT tcp 0 1 ca-bordeaux-4-114:42947 p5080DFB3.dip.t-di:3456 SYN_SENT tcp 0 1 ca-bordeaux-4-114:42941 d87114.upc-d.chell:8888 SYN_SENT etc. Je fais quoi??! |
essaie de tout ouvrir, et tu fais un netstat pour voir si le port 6699 est le seul en cause.
Marsh Posté le 24-10-2002 à 18:53:06
J'ai fais un "netstat -a" avec aucun logiciel contactant le réseau (web, irc, etc.) puis de même en ajoutant XNap.
J'ai obtenu cela (j'ai enlevé ce qui était inutile):
AVANT LE LANCEMENT DE XNap:
|
APRÈS LE LANCEMENT DE XNap:
|
Voilà...
Marsh Posté le 24-10-2002 à 22:39:11
| El_ShAman___ a écrit a écrit : J'ai fais un "netstat -a" avec aucun logiciel contactant le réseau (web, irc, etc.) puis de même en ajoutant XNap. J'ai obtenu cela (j'ai enlevé ce qui était inutile): AVANT LE LANCEMENT DE XNap:
|
ouais....
en fait il utilise une belle panoplie de ports ton logiciel..
je pense que le plus simple est d'autoriser la sortie sur les ports > 46000 et d'accepter les connections etablies
iptables -A OUTPUT -o ppp0 -p tcp --sport 46000:50000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m state --state -m state ESTABLISHED -j ACCEPT
par contre niveau secu, c'est clairement pas le top
Marsh Posté le 25-10-2002 à 01:58:55
un p'tit truc en passant, ta police INPUT est bien à DROP ?
dans ce cas il serait plus judicieux de faire ceci :
iptables -I INPUT -i ppp0 -p tcp -dport 6699 -j ACCEPT
en fait il faut faire insérer (-I) et non ajouter (-A), car en fait qd tu fais -A, tu mets cette règle en bas de liste donc si tu as une règle qui rejette toutes les connexions sur ppp0 et que tu fais iptables -A ..., tu ajoutes cette dernière en bas donc derrière la règle qui refuse toutes les connec, bref elle est carrément ignorée sur cette interface
Marsh Posté le 25-10-2002 à 13:36:32
iptables -I INPUT -i ppp0 -p tcp --dport 6699 -j ACCEPT
n'améliore rien 
@apolon34:
Ben, je garde ta solution su je n'ai vraiment pas le choix!
Au fait, oui, je drop INPUT, OUTPUT et FORWARD.
Sujets relatifs:
- Bloquer un port en OUTPUT avec iptables
- [SQUID + IPTABLES] Problème de proxy transparent incompréhensible
- Pas moyen de faire du nat avec iptables
- est il possible avec iptables de faire ce forward???
- [Iptables] Y a un truc special a prevoir avec DHCP ?
- [iptables] laisser passer mldonkey
- [Linux] Iptables : comment router ?
- [netfilter iptables] Module irc qui paralyse la connexion
- iptables pour vmware
- Kernel 2.2 et Iptables
Marsh Posté le 24-10-2002 à 17:19:40
J'ai mis en place les iptables et cela fonctionne bien pour la navigation internet, l'IRC, etc. mais pas pour le logiciel de P2P XNap ( xnap.sourceforge.net )!
XNap est configuré pour utiliser le port 6699 (c'est ce qui est marqué dans les proprités du plugin OpenNap). J'ai donc voulu ouvrir ce port en faisant:
iptables -A INPUT -i ppp0 --protocol tcp --source-port 6699 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6699 -m state --state NEW,ESTABLISHED -j ACCEPT
j'ai aussi essayé:
iptables -A INPUT -i ppp0 --protocol tcp --source-port 6699 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6699 -j ACCEPT
mais cela ne fonctionne pas, XNap ne trouve aucun serveur
Si je réouvre tous les ports, il n'y a plus de problème.
Pour l'instant, mes ports ouverts sont: 25, 53, 80, 110, 119, 2401, 6667.
Tout le reste est rejetté.
Je suis connecté au câble par les interfaces eth0 et ppp0.
Message édité par eL_Shaman___ le 24-10-2002 à 17:20:02