Ddclient et netfilter

Support Debian
#1

Bonjour,
J’ai un souci avec ddclient, J’arrive a mettre à jour mon IP quand mon firewall est desactivé mais quand celui-ci est activé ddclient n’arrive pas à joindre “checkip.dyndns.org:80”. Or, dans mes règle de iptables, j’accepte bien les connexions sur le port 80 en entrée et en sortie.
Je ne comprend pas, a moins que ddclient utilise un autre port mais lequel?
S’il vous plait quelqu’un sait il comment regler le problème?

#2

salut
je connait pas ddclient, mai tu as pas mal d’outil pour voir ce qui transite,
netstat -laputen
iptraf (a installer)
wireshark (a installer)
etc etc

tu peux aussi mettre une règle qui log tout ce rentrer et sort dans iptables

	#iptables -A INPUT -m limit --limit-burst 10 --limit 1/hour -j  ULOG --ulog-prefix="Entree"
	#iptables -A OUTPUT -m limit --limit-burst 10 --limit 1/hour -j  ULOG --ulog-prefix="Sortie"
	#iptables -A FORWARD -m limit --limit-burst 1 --limit 1/hour -j  ULOG --ulog-prefix="Forward"
#3

Merci Panthere.
La règle pour logguer tous ce qui rentre et sort ne retournait que des “–MARK–” dans /var/log/message,j’ai donc utilisé:

iptables -t filter -A INPUT -j LOG iptables -t filter -A OUTPUT -j LOG

et j’ai donc pu observer dans les logs que ddclient essayait des connections sur le port UDP 53.En conclusion, il fallait ajouter ces règles:

IFACE=wlan0 # ou votre interface reseau se connectant au web
iptables -t filter -A INPUT -i $IFACE -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -i $IFACE -p udp --dport 53 -j ACCEPT

notez que les deux regles ci-dessus sont minimal et que l’utilisation d’ ip_conntrack est toujours possible

#4

erf oui j’ai oublier que ulogd doit être installer.

sinon tu devrai regarder du coter des modules qui offre plus de possibiliter.

	iptables -A INPUT  -p udp -m state --state RELATED,ESTABLISHED -m multiport --source-port 53 -j ACCEPT
	iptables -A OUTPUT  -p udp -m state --state NEW,RELATED,ESTABLISHED -m multiport --destination-port 53 -j ACCEPT

je conseil d’utiliser le module state, pour ce qui est de module multiport je le trouve plus pratique mai la syntaxe est plus longue.

#5

donne tes règles iptables…

#6

Pourquoi,il y a quelque chose qui te parrais bizarre?

sinon voilà mes regles iptables(eth0 n’est pas connecter):
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

#ssh et Mpd
iptables -t filter -A INPUT -i wlan0 -p tcp --dport 6600 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i wlan0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i wlan0 -p tcp --dport 8025 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 6600 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 8025 -j ACCEPT

Pour ddclient

iptables -t filter -A INPUT -i wlan0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED,RELATED ACCEPT
iptables -t filter -A INPUT -i wlan0 -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p udp --dport 53 -j ACCEPT

#7

Tes règles

[quote]iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 6600 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 8025 -j ACCEPT[/quote]sont inutiles et induisent un trou de sécurité, n’importe quel programme utilisant les ports 6600 ou 8025 pourront sortir de ta machine sans pbm de même pour les règles

[quote]ptables -t filter -A INPUT -i wlan0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED,RELATED ACCEPT
iptables -t filter -A INPUT -i wlan0 -p udp --sport 53 -j ACCEPT[/quote] (là c’est moins grave car il faut être root pour utiliser les ports < 1024)

Par ailleurs, tu devrais accepter les ESTABLISHED,RELATED en général.

Par contre je ne vois pas où ça coince, tu as l’essentiel (53 en sortie (le DNS) et le port 80…

#8

J’ai plus de problème depuis que j’ai trouvé que le port 53 etait utilisé.
Après pour les regles iptables

iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 6600 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o wlan0 -p tcp --sport 8025 -j ACCEPT

je voient pas comment regler le problème sans elle ,je ne peut pas acceder à MPD à distance.

Edit:
J’ai ouvert un nouveau sujet pour le problème de pare-feu:
configuration-netfilter-t29944.html#p300170