configuration d'iptables

configuration d'iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-06-2005 à 17:30:13    

j'ai utilisé le script de base de LFS pour faire mon rc.iptables
 
j'y ai ajouté l'ouverture du ssh et du port 80/443
 
par contre, quand je fais un ftp sur une machine, ca se connecte. Je lance une commande (comme ls) et la ca coince
Pourtant ca devrait etre ok puisque la connexion est établie par ma machine nunux
 
une idée?
 


#!/bin/sh
 
# Begin $rc_base/rc.iptables
 
# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
# Disable Source Routed Packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
 
# Enable TCP SYN Cookie Protection
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
 
# Disable ICMP Redirect Acceptance
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
 
# Don.t send Redirect Messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
 
# Drop Spoofed Packets coming in on an interface, where responses
# would result in the reply going out a different interface.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 
# Log packets with impossible addresses.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
 
# be verbose on dynamic ip-addresses  (not needed in case of static IP)
echo 2 > /proc/sys/net/ipv4/ip_dynaddr
 
# disable Explicit Congestion Notification
# too many routers are still ignorant
echo 0 > /proc/sys/net/ipv4/tcp_ecn
 
# Set a known state
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP
 
# These lines are here in case rules are already in place and the
# script is ever rerun on the fly. We want to remove all rules and
# pre-exisiting user defined chains before we implement new rules.
iptables -F
iptables -X
iptables -Z
 
iptables -t nat -F
 
# Allow local-only connections
iptables -A INPUT  -i lo -j ACCEPT
 
# Free output on any interface to any ip for any service
# (equal to -P ACCEPT)
iptables -A OUTPUT -j ACCEPT
 
# Permit answers on already established connections
# and permit new connections related to established ones
# (e.g. port mode ftp)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Apache
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
 
# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
# Log everything else. What's Windows' latest exploitable vulnerability?
iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT "
 
# End $rc_base/rc.iptables

Reply

Marsh Posté le 24-06-2005 à 17:30:13   

Reply

Marsh Posté le 24-06-2005 à 17:32:39    

passe en mode passif


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-06-2005 à 17:44:32    

y'a moyen de configurer mon client ftp pour qu'il soit en passive par défaut?

Reply

Marsh Posté le 24-06-2005 à 17:46:56    

surement, c'est quoi comme client ?
 
EDIT : tu voudrais pas utiliser sysctl pour gérer les paramètres de /proc, c'est "plus propre" je trouve


Message édité par Mjules le 24-06-2005 à 17:47:36

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-06-2005 à 18:36:55    

c'est celui par défaut avec la LFS
 
sysctl? connait pas, jvais regarder ca sur google

Reply

Marsh Posté le 30-06-2005 à 16:45:01    

Salut!
En fait le pb vient de ton ta règle  
iptables -A OUTPUT -j ACCEPT
 
Avec ça tu ouvres tout, certes mais du coup conntrack n'enregistre pas l'ouverture de connexion du serveur FTP sur le port 22 vers ton client. Donc quand la réponse revient au serveur le paquet ne matche pas le "RELATED" et le paquet est jeté.
 
Place  
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  
avant (voire à la place, c'est mieux)
iptables -A OUTPUT -j ACCEPT  
 
Et ça devrait marcher...

 
NON en fait je sais pas où j'avais la tête, J'avais dans l'esprit que c'était la config du serveur que tu mettais là... En plus ça marche, YA rien à changer dans cette config! J'ai voulu faire une BA et bam! Je me suis planté, désolé!


Message édité par yozam le 01-07-2005 à 09:31:51
Reply

Marsh Posté le 30-06-2005 à 23:50:24    

ca ne semble rien avoir changé (en remplacant)

Reply

Marsh Posté le 01-07-2005 à 09:37:41    

Donc c'est bien le serveur FTP sur lequel tu te connectes qui n'accepte pas le mode ACTIF.
En fait c'est le pare-feux du serveur qui n'ouvre pas de connexion 'RELATED'.
 
Par contre si le pare-feux du serveur FTP est configuré pour le mode PASSIF, il te suffit de passer ton client FTP en passif:
 
colinux:~# ftp uml1
Connected to uml1.
220 uml1 FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.
Name (uml1:root):  
331 Password required for root.
Password:
230- Linux uml1 2.6.11.11 #1 Wed Jun 8 05:45:22 EDT 2005 i686 unknown
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pas
Passive mode on.

ftp> ls
227 Entering Passive Mode (192,168,10,1,8,0)
 
150 Opening ASCII mode data connection for '/bin/ls'.
 
...
...
...
 
ftp>
 
 
Mais ça, tu sais déjà... Pour le mode passif par défaut, il me semble que tu peux créer un fichier .netrc pour créer une macro init exécutée au login... Dans ce cas, il suffirait de placer passive dans cette macro pour être dans ce mode à chaque login sur un serveur FTP. Mais à vérifier car je peux toujours raconter des c***ries ;)


Message édité par yozam le 01-07-2005 à 09:45:56
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed