Forum debian-fr.org

Rechercher:

* Connexion   * M’enregistrer

* FAQ    * Rechercher

Voir les messages sans réponses | Voir les sujets actifs





Poster un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 11 messages ] 
  Sujet précédent | Voir le premier message non lu | Sujet suivant 
Auteur Message
Cid
 Sujet du message: iptables et hostname
MessagePosté: 05 Mar 2012 17:05 
Hors ligne
Nouvel utilisateur

Inscription: 05 Mar 2012 16:59
Messages: 5
Bonjour,

J'ai créé un script pour mes règles iptables, mais dès lors que je l'utilise, je n'arrive plus à résoudre le nom d’hôte de la debian sur le réseau.

Quelqu'un pourrait il m'indiquer le numéro du port ou le nom du protocole à autoriser svp?


Dernière édition par Cid le 13 Mar 2012 18:32, édité 2 fois.

Haut
 Profil  
 
syam
 Sujet du message: Re: Ipsec et hostname
MessagePosté: 05 Mar 2012 17:21 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4049
Et si tu nous montrais ce que tu as fait pour le moment ?

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
Cid
 Sujet du message: Re: Ipsec et hostname
MessagePosté: 05 Mar 2012 18:00 
Hors ligne
Nouvel utilisateur

Inscription: 05 Mar 2012 16:59
Messages: 5
Voici le script en question :

Code:
#!/bin/sh

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start firewall at boot time
# Description:       Enable firewall's rules.
### END INIT INFO

# Vidage des tables

iptables -t filter -F

# vidage des regles

iptables -t filter -X

# interdire tout

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# conserver les connections

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# SSH

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

#dns

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# ntp

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# HTTP(S)

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# samba

iptables -t filter -A INPUT -p tcp --dport 901 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT
Haut
 Profil  
 
PascalHambourg
 Sujet du message: Re: Ipsec et hostname
MessagePosté: 05 Mar 2012 23:02 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4837
Ce sont des règles iptables. Où est-il question d'IPSec ?

Pour la résolution de noms, ça dépend du protocole employé.
DNS : port 53 en UDP et TCP
mDNS (multicast DNS, utilisé avec zeroconf) : port 5353 en UDP, adresse multicast 224.0.0.251. Comme c'est du multicast, la règle basée sur le suivi de connexion (ESTABLISHED) ne marchera pas pour accepter automatiquement les réponses.

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
Cid
 Sujet du message: Re: Ipsec et hostname
MessagePosté: 06 Mar 2012 12:37 
Hors ligne
Nouvel utilisateur

Inscription: 05 Mar 2012 16:59
Messages: 5
Je pensais qu'iptables gérait les règles d'ipsec; merci d'avoir éclairé ma lanterne (je vais renommer le topic pour des recherches ultérieures)

Je vais faire des essais quand je serais sur mon serveur, je vous tiendrais au courant.
Haut
 Profil  
 
PascalHambourg
 Sujet du message: Re: iptables et hostname
MessagePosté: 06 Mar 2012 13:06 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4837
Non, aucun rapport direct [1] entre IPSec et iptables.
IPSec, c'est pour le chiffrement et l'authentification des paquets.
iptables, c'est pour le filtrage des paquets.

[1] Il existe néanmoins des interactions entre les deux.

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
Cid
 Sujet du message: Re: iptables et hostname
MessagePosté: 12 Mar 2012 17:38 
Hors ligne
Nouvel utilisateur

Inscription: 05 Mar 2012 16:59
Messages: 5
Rien de neuf hélas :(

Peut être y-a t-il une manip' spéciale à faire pour le multicast, j'ai tapé ça directement :

Code:
# iptables -t filter -A INPUT -p udp --dport 5353 -j ACCEPT
# iptables -t filter -A OUTPUT -p udp --dport 5353 -j ACCEPT
Haut
 Profil  
 
PascalHambourg
 Sujet du message: Re: iptables et hostname
MessagePosté: 12 Mar 2012 19:00 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4837
Tu peux ajouter des règles LOG en fin de chaîne pour tracer les paquets bloqués via les logs du noyau.
Code:
iptables -A INPUT -j LOG --log-prefix "INPUT "
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT "

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
Cid
 Sujet du message: Re: iptables et hostname
MessagePosté: 12 Mar 2012 20:45 
Hors ligne
Nouvel utilisateur

Inscription: 05 Mar 2012 16:59
Messages: 5
Après une requête de ping (accompagnée de l'hostname et pas de l'ip) infructueuse (nom d'hôte introuvable), voici ce que me donne un cat /var/log/syslog | tail

Code:
Mar 12 19:37:10 webdev kernel: [ 8579.378732] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18174 PROTO=UDP SPT=137 DPT=137 LEN=58
Mar 12 19:37:10 webdev kernel: [ 8580.142871] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18175 PROTO=UDP SPT=137 DPT=137 LEN=58
Mar 12 19:37:11 webdev kernel: [ 8580.907427] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18176 PROTO=UDP SPT=137 DPT=137 LEN=58


192.168.1.24 est mon pc client (windows 7), webdev est mon serveur sous debian. Si j'ai bien compris, SPT et DPT sont les source et destination port, j'ai donc ajouté des regles à la main pour le port 137 (visiblement, netbios-ns)

Code:
# iptables -t filter -A INPUT -p udp --dport 137 -j ACCEPT
# iptables -t filter -A OUTPUT -p udp --dport 137 -j ACCEPT


Malgré ça, toujours rien, le nom reste insolvable, le cat /var/log/syslog | tail me donne le même résultat apres une nouvelle requete de ping
Haut
 Profil  
 
PascalHambourg
 Sujet du message: Re: iptables et hostname
MessagePosté: 12 Mar 2012 21:43 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4837
Ah, oui, la résolution de nom Netbios... forcément, avec Windows.
Il faut que les règles LOG soient en fin de chaîne, donc si tu ajoutes des règles il faut les insérer avant et pas à la suite. Autrement cela trace des paquets qui sont ensuite acceptés, pas très instructif.

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
PascalHambourg
 Sujet du message: Re: iptables et hostname
MessagePosté: 12 Mar 2012 21:46 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4837
J'y pense, il existe un module de suivi de suivi de connexion pour netbios-ns, ça peut aider de le charger.
Code:
modprobe nf_conntrack_netbios_ns

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 11 messages ] 

Index du forum » Forums d'aide » Support Debian


Qui est en ligne

Utilisateurs parcourant ce forum: pancrace et 0 invités

Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
Flux RSS Flux RSS Liste des flux Liste des flux
Powered by phpBB® Forum Software © phpBB Group
Traduction par: phpBB-fr.com
SEO
[ Time : 0.111s | 15 Queries | GZIP : Off ]