Iptables et hostname

Support Debian
#1

Bonjour,

J’ai créé un script pour mes règles iptables, mais dès lors que je l’utilise, je n’arrive plus à résoudre le nom d’hôte de la debian sur le réseau.

Quelqu’un pourrait il m’indiquer le numéro du port ou le nom du protocole à autoriser svp?

#2

Et si tu nous montrais ce que tu as fait pour le moment ?

#3

Voici le script en question :

[code]#!/bin/sh

BEGIN INIT INFO

Provides: firewall

Required-Start: $remote_fs $syslog

Required-Stop: $remote_fs $syslog

Default-Start: 2 3 4 5

Default-Stop: 0 1 6

Short-Description: Start firewall at boot time

Description: Enable firewall’s rules.

END INIT INFO

Vidage des tables

iptables -t filter -F

vidage des regles

iptables -t filter -X

interdire tout

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

conserver les connections

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

SSH

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

#dns

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

ntp

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

HTTP(S)

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

samba

iptables -t filter -A INPUT -p tcp --dport 901 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT
[/code]

#4

Ce sont des règles iptables. Où est-il question d’IPSec ?

Pour la résolution de noms, ça dépend du protocole employé.
DNS : port 53 en UDP et TCP
mDNS (multicast DNS, utilisé avec zeroconf) : port 5353 en UDP, adresse multicast 224.0.0.251. Comme c’est du multicast, la règle basée sur le suivi de connexion (ESTABLISHED) ne marchera pas pour accepter automatiquement les réponses.

#5

Je pensais qu’iptables gérait les règles d’ipsec; merci d’avoir éclairé ma lanterne (je vais renommer le topic pour des recherches ultérieures)

Je vais faire des essais quand je serais sur mon serveur, je vous tiendrais au courant.

#6

Non, aucun rapport direct [1] entre IPSec et iptables.
IPSec, c’est pour le chiffrement et l’authentification des paquets.
iptables, c’est pour le filtrage des paquets.

[1] Il existe néanmoins des interactions entre les deux.

#7

Rien de neuf hélas :frowning:

Peut être y-a t-il une manip’ spéciale à faire pour le multicast, j’ai tapé ça directement :

[code]# iptables -t filter -A INPUT -p udp --dport 5353 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 5353 -j ACCEPT[/code]

#8

Tu peux ajouter des règles LOG en fin de chaîne pour tracer les paquets bloqués via les logs du noyau.

iptables -A INPUT -j LOG --log-prefix "INPUT " iptables -A OUTPUT -j LOG --log-prefix "OUTPUT "

#9

Après une requête de ping (accompagnée de l’hostname et pas de l’ip) infructueuse (nom d’hôte introuvable), voici ce que me donne un cat /var/log/syslog | tail

Mar 12 19:37:10 webdev kernel: [ 8579.378732] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18174 PROTO=UDP SPT=137 DPT=137 LEN=58 Mar 12 19:37:10 webdev kernel: [ 8580.142871] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18175 PROTO=UDP SPT=137 DPT=137 LEN=58 Mar 12 19:37:11 webdev kernel: [ 8580.907427] INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:16:ea:9a:de:44:08:00 SRC=192.168.1.24 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=18176 PROTO=UDP SPT=137 DPT=137 LEN=58

192.168.1.24 est mon pc client (windows 7), webdev est mon serveur sous debian. Si j’ai bien compris, SPT et DPT sont les source et destination port, j’ai donc ajouté des regles à la main pour le port 137 (visiblement, netbios-ns)

[code]# iptables -t filter -A INPUT -p udp --dport 137 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 137 -j ACCEPT[/code]

Malgré ça, toujours rien, le nom reste insolvable, le cat /var/log/syslog | tail me donne le même résultat apres une nouvelle requete de ping

#10

Ah, oui, la résolution de nom Netbios… forcément, avec Windows.
Il faut que les règles LOG soient en fin de chaîne, donc si tu ajoutes des règles il faut les insérer avant et pas à la suite. Autrement cela trace des paquets qui sont ensuite acceptés, pas très instructif.

#11

J’y pense, il existe un module de suivi de suivi de connexion pour netbios-ns, ça peut aider de le charger.