[iptables] Reflexions, comprehensions - 1

Bonjour, all

J’aimerais comprendre certaines choses - je ne sais pas si je vais arriver à bien exprimer ce que j’ai besoin de comprendre - :

Qd on créé un script iptables, pour une station informatique - aucun hébergement de services - avec les régles suivantes :

-Accept le traffic sur l’interface local - “lo”
-Accept tout le traffic sur le lan - mode no-parano
-Accept certains flux à destination du wan : dns, mdns, http, https, ftp (pour exemple)
-Drop ou Rejet le reste.

Les régles fonctionnent très bien …
Sur le lan, je reçois bien tout flux, quelque soit son port, dns, dhcp, les smb, etc…
Et, le wan discute bien aussi.

Maintenant, partons du principe, que je ne peux avoir confiance même dans le réseau lan, donc au lieu d’accepter tout le traffic, je cible - pour l’exemple, on ciblera un minimum, soit dns, mdns, et http…

-Accept le traffic sur l’interface local “lo”
-Accept certains flux sur le lan : dns, mdns, http, smb[*]
-Accept certains flux à destination du wan : dns, mdns, http, https, ftp, …
-Drop ou Rejet le reste

[*] smb = port 135,137-139 et 445, avec proto tcp et udp.

Le flux lan fonctionne - sauf smb, où je n’arrive pas à voir le réseau -
Le flux Wan : non

Pourquoi ?
Dans le concept, qu’est-ce que je ne comprends pas ?

salut,
je sais pas, en vrac, je te dirais que c’est pas l’algo incomplet qu’il faut nous exposer, mais bien les lignes de commandes iptables pour réaliser ce que tu veux et qui ne marche pas.
Le lan, la wlan, le nat, ça demande pas du masquerade, du prerouting, du postrouting, du forwarding … que sais-je encore ?
En tout cas, c’est clair que c’est pas juste du - ACCEPT.
Tu as autorisé iptables dans sa conf à faire du forwarding au fait ?
ps: je suis vite dépassé aussi par les commande iptables :unamused:

[quote=“usinagaz”]salut,
je sais pas, en vrac, je te dirais que c’est pas l’algo incomplet qu’il faut nous exposer, mais bien les lignes de commandes iptables pour réaliser ce que tu veux et qui ne marche pas.
Le lan, la wlan, le nat, ça demande pas du masquerade, du prerouting, du postrouting, du forwarding … que sais-je encore ?
En tout cas, c’est clair que c’est pas juste du - ACCEPT.
[/quote]
ok, je posterais … mais en gros, j’ai réécris à partir de la doc que j’ai écrit dans mon “Mémoire Grise Libérée” en version stricte.

[quote]
Tu as autorisé iptables dans sa conf à faire du forwarding au fait ?[/quote]
pourquoi faire du forwarding, alors que c un script pour la station finale …
elle ne fait aucun nat sur aucun réseau - la destination ou la source c’est elle.

elle envoie ou reçoit sur le lan.
elle envoie ou recoit sur le wan.
aucun service !

De fait, c pas aussi simple que cela laisse paraître, en effet :wink:

ah ben je sais pas, moi le nat, le lan, le vlan, le wlan, le van … non pas le van … j’arrive pas trop à suivre :smiley:

tu veux pas plutôt que je t’envoie mon script de fou :stuck_out_tongue: ?

non: fournis plutot le resultat final de ce que tu fais dans iptables, en dumpant avec iptables-save
sinon,AMA, une ligne

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTdevrait resoudre tes soucis.

[quote=“mattotop”]non: fournis plutot le resultat final de ce que tu fais dans iptables, en dumpant avec iptables-save
sinon,AMA, une ligne

et la même chose en sortie en supposant que la police par défaut pour la chaîne OUTPUT est DROP comme pour INPUT.

Du coup ton filtrage ne ce fait plus que sur l’état NEW des connexions. Cela te simplifiera la vie. Tu pourras enrichir ton script avec un contrôle sur les états ESTABLISHED et RELATED plus tard.

Pour le debug de mon script, j’utilise la commande :

Tu auras ainsi la liste de tes règles pour la table filter.

Le point que j’apprécie particulièrement est que tu peux voir le nombre de paquets que chaque règle match. En supposant que tu mettes les compteurs à zéro au démarrage de ton script, cela est d’une aide précieuse.

[quote=“mattotop”]non: fournis plutot le resultat final de ce que tu fais dans iptables, en dumpant avec iptables-save
[/quote]

Bon, excusez-moi, pour ce temps de “détente” - bien que ce n’en fut pas un :stuck_out_tongue:

Ceci est le fichier iptables-save pour la config LAN et WAN avec ports ciblés :

merci pour votre aide :smiley: