[iptables]3.14

jb1 · Février 21, 2016, 8:57pm

Bonjour,
j’utilisais Firestarter comme parefeu gestionnaire de passerelle,
aprés une MAJ:
la machine passerelle ne laisse plus passer le port 80,
le client de la passerelle passe

si j’arrete Firestarter, c’est l’inverse
la passerelle laisse passer le service 80
la machine cliente ne passe plus
un coup de main SVP
A+
JB1

DarkGagan · Février 21, 2016, 8:57pm

Bonjour,

Si je comprends bien (dis-nous si je me trompe), tu as:

un PC “passerelle” sur lequel Firestarter tourne
un autre PC “client” se connecte sur la passerelle pour accéder au web (port 80)
=> ton firewall fait donc du forwarding, voilà pourquoi si FS est off, le 80 passe et pas le client connecté à ta passerelle (plus de routage)

Est-ce que tu as un script personnalisé créé via FireStarter (avant MàJ) qu’il ne retrouve pas?
Dans ce cas il doit encore exister, c’est un fichier, il faut indiquer à FireStarter où il est sauvegardé.

En espérant que ça t’aide

[et si j’ai dit des grosses bêtises je suis sincèrement désolé ]

jb1 · Février 21, 2016, 8:57pm

bonjour,
pour l’init “initial” de firestarter:
-valeur de l’ethx vers le wan
-valeur de l’ethy vers le lan
firestarter se charge de l’ip_forward est le reste des directivess
cela fait plusieurs années que j’utilise sur Debian
la gestion des autres fonctions est une aide graphique interactive

coté wan c’est une livebox
il y a eu dernièrement des MAJ sur LB et passerelle Debian
si j’utilise une autre passerelle cela fonctionne
A+
JB1

jb1 · Février 21, 2016, 8:57pm

bonjour,
j’ai vu ceci dans /etc/dtc

root@alpha30:/etc/dtc# pg general-firewall
general-in () {
        #Allow localhost.
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -i lo -j ACCEPT

        ## Allow established connection
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -m state --state ESTABLISHED,RELATED -j ACCEPT

        ## Drop scans XMAS and NULL
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp --tcp-flags ALL ALL -j DROP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp --tcp-flags ALL NONE -j DROP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

        ## Silent drop broadcast
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -m pkttype --pkt-type broadcast -j DROP

        # Allow pings
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p icmp -j ACCEPT

        # Allow incoming to servers
        # DNS
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p udp -i ${INTERFACE} --dport 53 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 53 -j ACCEPT

        # SSH
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 22 -j ACCEPT

        # HTTP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 80 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 443 -j ACCEPT

        # SMTP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 25 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 465 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 587 -j ACCEPT

        # FTP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 21 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 20 -j ACCEPT
        #${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

        # POP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 110 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 995 -j ACCEPT

        # IMAP
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 143 -j ACCEPT
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 993 -j ACCEPT

	# SIEVE
	# ${IPTABLES} -A ${GENERAL_IN_CHAIN} -p tcp -i ${INTERFACE} --dport 2000 -j ACCEPT

        ## Log incoming traffic
        ${IPTABLES} -A ${GENERAL_IN_CHAIN} -m limit --limit 5/min -j LOG --log-prefix '** Incoming **' --log-level 7

        ## Drop incomming traffic
        ${IPTABLES} -P INPUT DROP
}
general-out () {
	#Allow localhost.
        ${IPTABLES} -A ${GENERAL_OUT_CHAIN} -i lo -j ACCEPT

        ## Allow all except invalid state
        ${IPTABLES} -A ${GENERAL_OUT_CHAIN} -m state ! --state INVALID -j ACCEPT                                                                                       

        # Drop outgoing traffic
        ${IPTABLES} -P OUTPUT DROP
}
general-for () {
        ## Log outgoing traffic
        ${IPTABLES} -A ${GENERAL_FOR_CHAIN} -m limit --limit 5/min -j LOG --log-prefix '** Forward **' --log-level 7

        ## Drop forward traffic
        ${IPTABLES} -P FORWARD DROP
}

la dernière directive est de bon aloi
pour moi ce produit est INCOMPLET et à COMPLETER
produit daté de 1/09/2012 dans debian expérimental
on est revenu à la 2.2

pour info c’est du caca boudin pour l’arreter
A+
JB1

DarkGagan · Février 21, 2016, 8:58pm

Firestarter est un front-end pour iptables st d’autres fw.

Bypasse fs et crée-toi un script iptables aux petits oignons. Il y a un bon tuto sur le fofo et d’excellentes docs sur le site de netfilter. Aussi, PascalHambourg inscrit ici est selon moi un mec mega calé sur iptables, s’il veut bien il te donnera surement de très bons conseils.