Je viens d’installer firestarter sur ma debian unstable X686.
Quand je le demarre, je ne peux plus acceder à rien sur internet. Pourtant j’ai bien mis la politique sur autoriser, et le périphérique est bien reconnu puisque lorsqu’il est arrété je vois bien le débit sur la carte eth0.
De plus il me semblait que firestarter n’était qu’une gui donc le simple fait de lancer la gui ne devrait pas tout bloqué si ?
alors visiblement c’est effectivement un problème au niveau des regles. Mais visiblement il faut que j’ajoute TOUTES les connexions distantes entrantes; ca veut dire qu’il faut que j’ajoute tous les sites sur lesquels je vais ou il y a un moyen plus simple ?
naviguer sur internet est considéré comme du trafic sortant il me semble, c’est toi le client
pour la politique du trafic sortant, es que tu as bien coché permissif par défaut ?
sinon tu as rien d’autre qui pourrait bloquer ta connexion ? (routeur)
oui j’ai bien coché permissif pour la connexion sortante.
En fait je suis obligé d’ajouter le nom de domaine ou je vais me connecter dans le traffic entrant (genre google.com) pour accéder au site (alors que le port 80 est bien ouvert dans autoriser le service).
Ce qui me gène c’est de devoir ajouter tous les domaines ou je vais vouloir me connecter sans quoi je ne peux pas y accéder.
Et sinon si j’utilise la Freebox en routeur
Tu as peut être donné la mauvaise interface à firestarter lors de son installation.
On pourra plus t’aider si tu nous donnais le contenu du fichier /etc/network/interfaces.
Pour relancer la configuration de firetstarter : pare-feu -> lancer l’assistant.
/etc/network/interfaces
[code] auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet dhcp
auto eth2
iface eth2 inet dhcp
auto ath0
iface ath0 inet dhcp
auto wlan0
iface wlan0 inet dhcp
[/code]
Il ne me propose que deux interfaces sous firestarter
eth0
tunnel IPV6 sit0
J’ai donc séléctionné eth0 (et quand le firewall est desactivé il voit bien du traffic sur cette interface là )
Avis aux spécialiste de ce forum … je vois pas pourquoi firestarter agit comme ça
merci quand même vishnou 
la bible de d’iptable:
http://christian.caleca.free.fr/netfilter.html
Sinon va faire un tour dans le forum trucs et astuces, tu trouveras un exemple de config.
Regarde les règles crées pour la table filter via :
ou
visiblement les regles que j’ai rentré sur firestarter sont bien enregistrer puisque ce sont les memes.
Chain INBOUND (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any chat8-0-0.x-echo.com anywhere
0 0 ACCEPT all -- any any epiknet.org anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any ns1.naeberg.org anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:www
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:ftp-data:ftp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:20:fsp
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:pop3
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:smtp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:25
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:1111:1112
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:1111:1112
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ircd
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:6667
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:xmpp-client
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:xmpp-client
[quote=“flavius”]visiblement les regles que j’ai rentré sur firestarter sont bien enregistrer puisque ce sont les memes.
Chain INBOUND (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any chat8-0-0.x-echo.com anywhere
0 0 ACCEPT all -- any any epiknet.org anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any ns1.naeberg.org anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:www
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:ftp-data:ftp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:20:fsp
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:pop3
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:smtp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:25
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:1111:1112
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:1111:1112
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ircd
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:6667
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:xmpp-client
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:xmpp-client
[/quote]
C’est pas la sortie de iptables ça ! Ou bien c’est une version que je ne connais pas :p! La chaîne INBOUND je ne connais pas, et de plus on ne vois pas la politique par défaut adoptée.
Pourquoi utiliser pour chaque règle le protocole udp et tcp ?
Je vois bien les règles pour autoriser les requêtes http à sortir de ta machine mais pas celles qui reviennent. De plus, le DNS n’est pas géré donc pour la résolution de nom cela ne fonctionnera pas.
Bon c’était pas tout a fait la sortie d’iptable j’en avais oublié un chti morceau en cours de route. Mais sinon si!
# iptables -L -v
Chain INPUT (policy ACCEPT 2032K packets, 197M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2983K packets, 3160M bytes)
pkts bytes target prot opt in out source destination
Chain INBOUND (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any chat8-0-0.x-echo.com anywhere
0 0 ACCEPT all -- any any epiknet.org anywhere
0 0 ACCEPT all -- any any mu-in-f103.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f104.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f147.google.com anywhere
0 0 ACCEPT all -- any any mu-in-f99.google.com anywhere
0 0 ACCEPT all -- any any ns1.naeberg.org anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:www
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:ftp-data:ftp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:20:fsp
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:pop3
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:smtp
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:25
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:1111:1112
0 0 ACCEPT udp -- any any anywhere anywhere udp dpts:1111:1112
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ircd
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:6667
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:xmpp-client
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:xmpp-client
[quote=“flavius”]
[code]
Chain INPUT (policy ACCEPT 2032K packets, 197M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2983K packets, 3160M bytes)
pkts bytes target prot opt in out source destination
Chain INBOUND (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – any any mu-in-f104.google.com anywhere
0 0 ACCEPT all – any any mu-in-f99.google.com anywhere
0 0 ACCEPT all – any any mu-in-f103.google.com anywhere
0 0 ACCEPT all – any any mu-in-f147.google.com anywhere
0 0 ACCEPT all – any any chat8-0-0.x-echo.com anywhere
0 0 ACCEPT all – any any epiknet.org anywhere
0 0 ACCEPT all – any any mu-in-f103.google.com anywhere
0 0 ACCEPT all – any any mu-in-f104.google.com anywhere
0 0 ACCEPT all – any any mu-in-f147.google.com anywhere
0 0 ACCEPT all – any any mu-in-f99.google.com anywhere
0 0 ACCEPT all – any any ns1.naeberg.org anywhere
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:www
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:www
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpts:ftp-data:ftp
0 0 ACCEPT udp – any any anywhere anywhere udp dpts:20:fsp
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:pop3
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:smtp
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:25
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpts:1111:1112
0 0 ACCEPT udp – any any anywhere anywhere udp dpts:1111:1112
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:ircd
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:6667
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:xmpp-client
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:xmpp-client
[/code][/quote]
Les règles ci-dessus ouvrent tout normalement. Si tu lances firestarter, je pense qu’il devrait ajouter la chaine INBOUND comme référence dans INPUT pour autoriser tous les paquets qui correspondent à tes règles présentes dans INBOUND.
Cependant, tu as mis des règles pour dpt 80 en INBOUND ce qui veut dire que tu autorises les gens à accéder à ton serveur, par contre tu n’autorises pas les connexions des serveurs webs distants à revenir (sport 80). Les connexions sortantes vers les serveurs web distants sont autorisées grâce à la politique par défaut ACCEPT présente dans la chaîne OUTPUT.