[gentoo] problème script iptable (open)

problème script iptable (open) [gentoo] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-09-2004 à 21:00:55    

bonjour,
 
je suis en train d'écrire un script iptable pour faire un firewall sur ma gentoo (une adaptation du script présenté dans la doc gentoo pour mon portable), ce script fonctionne mais il subsiste un détail ennuyeux, en effet quand j'ajoute le script au runlevel default et bien y a rien qui passe ... bizarrement il suffit de stopper le firewall, de lancer Firefox par exemple et de relancer le firewall et c'est bon ... par contre un arrêt relance du firewall ne suffit pas, il faut initialiser une connexion pour que cela passe ... en fait j'ai l'impression que mon script gère mal l'initialisation des connexions :(  ci-joint mon script ...
 
si qq à une idée je suis preneur, merci :)
 

Code :
  1. #!/sbin/runscript
  2. IPTABLES=/sbin/iptables
  3. IPTABLESSAVE=/sbin/iptables-save
  4. IPTABLESRESTORE=/sbin/iptables-restore
  5. FIREWALL=/etc/firewall.rules
  7. #interfaces
  8. ETH_RJ45=eth0
  9. ETH_WIFI=eth1
  12. opts="${opts} showstatus panic save restore showoptions rules"
  14. depend() {
  15.   need net
  16. }
  18. rules() {
  19.   stop
  20.   ebegin "Paramétrer les règles internes"
  22.   einfo "On ignore tout par défaut"
  23.   $IPTABLES -P FORWARD DROP
  24.   $IPTABLES -P INPUT   DROP
  25.   $IPTABLES -P OUTPUT  DROP
  27.   # Règles par default
  28.   einfo "Créer les chaînes d'état"
  29.   $IPTABLES -N allowed-connection-eth
  30.   $IPTABLES -F allowed-connection-eth
  31.   $IPTABLES -A allowed-connection-eth -m state --state ESTABLISHED,RELATED -j ACCEPT
  32.   $IPTABLES -A allowed-connection-eth -i $ETH_RJ45 -m limit -j LOG --log-prefix \
  33.       "Bad packet from ${ETH_RJ45}:"
  34.   $IPTABLES -A allowed-connection-eth -j DROP
  35.  
  36.   $IPTABLES -N allowed-connection-wifi
  37.   $IPTABLES -F allowed-connection-wifi
  38.   $IPTABLES -A allowed-connection-wifi -m state --state ESTABLISHED,RELATED -j ACCEPT
  39.   $IPTABLES -A allowed-connection-wifi -i $ETH_WIFI -m limit -j LOG --log-prefix \
  40.       "Bad packet from ${ETH_WIFI}:"
  41.   $IPTABLES -A allowed-connection-wifi -j DROP
  43.   # Trafic ICMP
  44.   einfo "Créer la chaîne icmp"
  45.   $IPTABLES -N icmp_allowed
  46.   $IPTABLES -F icmp_allowed
  47.   $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
  48.       time-exceeded -j ACCEPT
  49.   $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
  50.       destination-unreachable -j ACCEPT
  51.   $IPTABLES -A icmp_allowed -p icmp -j LOG --log-prefix "Bad ICMP traffic:"
  52.   $IPTABLES -A icmp_allowed -p icmp -j DROP
  54.   # Trafic entrant
  55.   einfo "Créer la chaîne de trafic SSH entrant"
  56.   $IPTABLES -N allow-ssh-traffic-in
  57.   $IPTABLES -F allow-ssh-traffic-in
  58.   # Protection anti Flood
  59.   $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp --tcp-flags \
  60.       ALL RST --dport ssh -j ACCEPT
  61.   $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp --tcp-flags \
  62.       ALL FIN --dport ssh -j ACCEPT
  63.   $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp --tcp-flags \
  64.       ALL SYN --dport ssh -j ACCEPT
  65.   $IPTABLES -A allow-ssh-traffic-in -p tcp --dport ssh -j ACCEPT
  67.   # Trafic sortant
  69.  
  70.   einfo "Créer la chaîne de trafic DNS/SSH/HTTP/HTTPS/FTP/MAIL sortant"
  71.   $IPTABLES -N allow-www-traffic-out
  72.   $IPTABLES -F allow-www-traffic-out
  73.   $IPTABLES -A allow-www-traffic-out -p tcp --dport www -j ACCEPT
  74.   $IPTABLES -A allow-www-traffic-out -p tcp --dport https -j ACCEPT
  75.   $IPTABLES -A allow-www-traffic-out -p tcp --dport ftp -j ACCEPT
  76.   $IPTABLES -A allow-www-traffic-out -p tcp --dport smtp -j ACCEPT
  77.   $IPTABLES -A allow-www-traffic-out -p tcp --dport pop3 -j ACCEPT
  78.   $IPTABLES -A allow-www-traffic-out -p tcp --dport ssh -j ACCEPT
  79.   $IPTABLES -A allow-www-traffic-out -p tcp --dport 53 -j ACCEPT
  81.   # Détecter les scanneurs de ports.
  82.   einfo "Créer la chaîne de détection de portscan"
  83.   $IPTABLES -N check-flags
  84.   $IPTABLES -F check-flags
  85.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
  86.       --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
  87.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  88.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
  89.       5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
  90.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
  91.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
  92.       -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
  93.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
  94.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
  95.       --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
  96.   $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
  97.   $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
  98.       --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
  99.   $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  100.   $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
  101.       --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
  102.   $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
  104.   # Applique et ajoute les chaînes invalides.
  105.   einfo "Appliquer les chaînes a INPUT"
  106.   $IPTABLES -A INPUT -m state --state INVALID -j DROP
  107.   $IPTABLES -A INPUT -j icmp_allowed
  108.   $IPTABLES -A INPUT -j check-flags
  109.   $IPTABLES -A INPUT -i lo -j ACCEPT
  110.   $IPTABLES -A INPUT -j allow-ssh-traffic-in
  111.   $IPTABLES -A INPUT -j allowed-connection-eth
  112.   $IPTABLES -A INPUT -j allowed-connection-wifi
  114.   einfo "Appliquer les chaînes à l'OUTPUT"
  115.   $IPTABLES -A OUTPUT -m state --state INVALID -j DROP
  116.   $IPTABLES -A OUTPUT -j icmp_allowed
  117.   $IPTABLES -A OUTPUT -j check-flags
  118.   $IPTABLES -A OUTPUT -o lo -j ACCEPT
  119.   $IPTABLES -A OUTPUT -j allow-www-traffic-out
  120.   $IPTABLES -A OUTPUT -j allowed-connection-eth
  121.   $IPTABLES -A OUTPUT -j allowed-connection-wifi
  123.   eend $?
  124. }
  126. start() {
  127.   ebegin "Démarrage du pare-feu"
  128.   if [ -e "${FIREWALL}" ]; then
  129.     restore
  130.   else
  131.     einfo "${FIREWALL} n'existe pas. Utilisation des règles par defaut."
  132.     rules
  133.   fi
  134.   eend $?
  135. }
  137. stop() {
  138.   ebegin "Arrêt du pare-feu"
  139.   $IPTABLES -F
  140.   $IPTABLES -t nat -F
  141.   $IPTABLES -X
  142.   $IPTABLES -P FORWARD ACCEPT
  143.   $IPTABLES -P INPUT   ACCEPT
  144.   $IPTABLES -P OUTPUT  ACCEPT
  145.   eend $?
  146. }
  148. showstatus() {
  149.   ebegin "Statut"
  150.   $IPTABLES -L -n -v --line-numbers
  151.   einfo "Statut NAT"
  152.   $IPTABLES -L -n -v --line-numbers -t nat
  153.   eend $?
  154. }
  156. panic() {
  157.   ebegin "Mise en place des règles de panique"
  158.   $IPTABLES -F
  159.   $IPTABLES -X
  160.   $IPTABLES -t nat -F
  161.   $IPTABLES -P FORWARD DROP
  162.   $IPTABLES -P INPUT   DROP
  163.   $IPTABLES -P OUTPUT  DROP
  164.   $IPTABLES -A INPUT -i lo -j ACCEPT
  165.   $IPTABLES -A OUTPUT -o lo -j ACCEPT
  166.   eend $?
  167. }
  169. save() {
  170.   ebegin "Enregistrement des règles de pare-feu"
  171.   $IPTABLESSAVE > $FIREWALL
  172.   eend $?
  173. }
  175. restore() {
  176.   ebegin "Rétablissement des règles précédentes"
  177.   $IPTABLESRESTORE < $FIREWALL
  178.   eend $?
  179. }
  181. restart() {
  182.   svc_stop; svc_start
  183. }
  185. showoptions() {
  186.   echo "Usage: $0 {start|save|restore|panic|stop|restart|showstatus}"
  187.   echo "start)      Restaure les paramètres s'ils existent, sinon force les règles."
  188.   echo "stop)       Efface toutes les règles et autorise tout accès."
  189.   echo "rules)      Force les paramètres des nouvelles règles."
  190.   echo "save)       Sauve les paramètres dans ${FIREWALL}."
  191.   echo "restore)    Récupère les paramètres depuis ${FIREWALL}."
  192.   echo "showstatus) Affiche le statut."
  193. }


Message édité par matthias le 25-09-2004 à 21:02:13
Reply

Marsh Posté le 25-09-2004 à 21:00:55   

Reply

Marsh Posté le 25-09-2004 à 21:23:45    

je penche pour un pb DNS car immédiatement aprés le boot si je veux me connecter sur un FTP, il bloque sur un pb de résolution d'adresse, si je stop le firewall , check mails puis restart du firewall ça marche .... je comprends pas :(    
 
pour infos  c'est mon routeur qui fait office de serveur DNS.

Reply

Marsh Posté le 28-09-2004 à 21:16:03    

Un ptit coup d'ethereal pour voir ce qui passe (ou ce qui ne passe pas) ?
 
Compares devant et derrière ton firewall (si tu peux...)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed