Netfilter, nfconntrack et état RELATED

ricardo · Janvier 19, 2017, 4:21pm

Mon iptables-save :

:INPUT DROP [44428:7405044]
:FORWARD DROP [0:0]
:OUTPUT DROP [133493:43757873]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/sec --limit-burst 1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport XXXX -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport XXXX -j ACCEPT
-A OUTPUT -p udp -m udp --dport XXXX -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport ====PORT CAM1 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport ====PORT CAM2 -j ACCEPT

seb-ksl · Janvier 19, 2017, 4:58pm

Merci @cedric058, @PengouinPdt et @ricardo !

J’ai essayé avec ce jeu de règles, ça ne marche pas mieux (toujours mêmes symptômes : la connexion sur 554/tcp est OK, mais la suite ne se fait pas) :

# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*filter
:INPUT DROP [950:949359]
:FORWARD DROP [0:0]
:OUTPUT DROP [2202:180899]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/sec --limit-burst 1 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 554 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 554 -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*nat
:PREROUTING ACCEPT [948:949279]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [2433:197713]
:POSTROUTING ACCEPT [231:16814]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*mangle
:PREROUTING ACCEPT [2489:1093886]
:INPUT ACCEPT [2487:1093806]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3790:312950]
:POSTROUTING ACCEPT [1588:132051]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*raw
:PREROUTING ACCEPT [2489:1093886]
:OUTPUT ACCEPT [3790:312950]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017

Ceci explique cela, tu t’affranchis donc des problèmes du protocole RTSP ;-). Ma caméra n’a qu’un serveur RTSP, pas de HTTP, donc impossible pour moi de contourner le problème.[quote=“cedric058, post:18, topic:72386”]
Un lien récent qui va dans ce sens : https://forum.videolan.org/viewtopic.php?t=133616
[/quote]

Ouch .

PengouinPdt · Janvier 19, 2017, 6:30pm

# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*filter
:INPUT DROP [950:949359]
:FORWARD DROP [0:0]
:OUTPUT DROP [2202:180899]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/sec --limit-burst 1 -j ACCEPT
#
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 554 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p udp -m udp --dport 554 -m conntrack --ctstate NEW  -j ACCEPT
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*nat
:PREROUTING ACCEPT [948:949279]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [2433:197713]
:POSTROUTING ACCEPT [231:16814]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*mangle
:PREROUTING ACCEPT [2489:1093886]
:INPUT ACCEPT [2487:1093806]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3790:312950]
:POSTROUTING ACCEPT [1588:132051]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017
# Generated by iptables-save v1.6.0 on Thu Jan 19 17:52:27 2017
*raw
:PREROUTING ACCEPT [2489:1093886]
:OUTPUT ACCEPT [3790:312950]
COMMIT
# Completed on Thu Jan 19 17:52:27 2017

@seb-ksl, fais attention, stp, à l’ordre de tes règles.
Je ne dis pas que celles-ci fonctionneront assurément, mais ça sera déjà mieux !

seb-ksl · Janvier 19, 2017, 7:02pm

Ça fait un moment que je me demande si l’ordre des règles importe, je n’ai jamais pris le temps de vérifier, merci pour l’info ! Ceci dit, ton intuition était correcte : ça ne change rien .

PengouinPdt · Janvier 19, 2017, 11:50pm

Il va te falloir te résoudre à mettre la sortie en mode accept !

seb-ksl · Janvier 20, 2017, 7:20am

Sans être aussi bourrin, j’ai du coup opté pour un -A OUTPUT -d 192.168.0.51/32 -j ACCEPT. Ça me paraît un compromis acceptable, même si pas aussi fin que j’aurais souhaité.