[RESOLU] Configuration du firewall

Bonjour,

J’ai installer Shoutcast sur mon serveur et je dois modifier le firewall.
J’y ajoute cela sauf que je 'arrive plus à me connecter a mon ftp !

#!/bin/bash
echo Setting firewall rules...

#
# config de base
#

# vidage
iptables -t filter -F
iptables -t filter -X

# avant tout : autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

# interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP

# autoriser les requetes DNS, FTP, HTTP (pour les mises a jour)
iptables -t filter -A INPUT -p udp --dport 20 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT

# Autoriser Shoutcast en entrée
iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT

Merci d’avance

Tu as juste ajouté les deux dernières règles et l’accès au serveur en FTP ne marche plus ? Avec quelle erreur ?

Quelques remarque sur tes règles :

iptables -t filter -A INPUT -p udp --dport 20 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 20 -j ACCEPT
Ces règles sont inutiles pour FTP. Par contre il est nécessaire que le module ip_conntrack_ftp ou nf_conntrack_ftp soit chargé.

# Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT
Cette règle accepte tous les types ICMP, pas seulement le ping. Pour n’autoriser que le ping, il faut spécifier le type “echo request” :

En dehors de ce qu’écrit Pascal, qui est bien + compétant que moi ds ce domaine, je trouve une anomalie ds ton fichier : l’ordre des ordres
tu commences par autoriser qq choses :

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
et ensuite tu interdis les m^ choses :

iptables -t filter -P INPUT DROP

La machine lit les commandes ds l’ordre et obéit à la dernière, il me semble.
Je dis ptet une connerie et Pascal me reprendra.

Je n’est fais que copier/coller le code en ajoutant les lignes pour le ftp !

Je dois mettre quoi comme code alors ?

ben moi j’aurais inversé tout simplement :
le DROP général en tête, suivi des ACCEPT particuliers

Je change juste l’ordre ?

ricardo :
Tu mélanges les règles (-A) et les politiques par défaut (-P). L’ordre des règles comptes, mais il n’y a pas d’ordre pour la politique par défaut qui est toujours appliquée en dernier ressort si aucune règle ne correspond.
Et non, ce n’est pas la dernière règle qui compte mais la première rencontrée qui correspond au paquet et qui a une cible “terminale” (ACCEPT, DROP, REJECT…) ou, à défaut, la politique par défaut de la chaîne traversée.

adrien49 :
Je ne comprends pas ce que tu veux dire. Au début tu parles de shoutcast, ensuite de lignes ajoutées pour FTP.
Quel rapport avec shoutcast dans tout ça ?
Quel était le script initial avec lequel FTP fonctionnait ?
Qu’as-tu modifié ensuite ?
Quel est le message d’erreur ou le comportement lors d’une tentative de connexion en FTP ?
Le module de suivi de connexion FTP (ip_conntrack_ftp ou nf_conntrack_ftp selon la version du noyau) est-il chargé ? Si non :

Bon je vais vous réexpliquer ! J’ai un installer sur mon serveur Shoutcast pour faire du streaming audio.

J’ai suivis un tuto et dans ce tuto, je devais ajouter des lignes dans mon firewall (Il était vide auparavant) et depuis que j’ai ajouter ses lignes et bien je ne peux plus me connecter a mon ftp !

C’est normal car il manque des lignes que j’ai essayer de rajouter mais ne m’y connaissant pas plus que ça et bien je n’y arrive pas trop !

Voila le code firewall qui est donné dans le tuto :

#!/bin/bash
echo Setting firewall rules...

#
# config de base
#

# vidage
iptables -t filter -F
iptables -t filter -X

# avant tout : autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

# interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP

# autoriser les requetes DNS, FTP, HTTP (pour les mises a jour)
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT

# Autoriser Shoutcast en entrée
iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT

Maintenant c’est clair. Mais en quoi l’installation de shoutcast impose-t-elle la mise en place d’un pare-feu s’il n’y en avait pas avant ?

Le script de ton premier message devrait convenir, aux quelques observations que j’ai faites dans mes précédentes réponses près :

• supprimer les règles autorisant le port 20 UDP
• rendre la règle autorisant le ping plus restrictive
• ajouter modprobe ip_conntrack_ftp

Bon je vous donne le tuto : dedibox-news.com/sujet-1167- … s-commande

Moi je suis le tuto qui me dit de configurer le firewall c’est tout

Suivre un tutoriel ne dispense pas de faire marcher sa cervelle. Shoutcast n’a pas besoin de pare-feu, c’est à toi d’estimer si ta machine en a besoin ou pas.

Je sais que cela n’est pas obliger, mais bon étant quand même pas un expert et la on me dit de faire cela c’est pour la securité alors moi je le fais pour avoir une securité. C’est tout je sais bien ça marche sans.

Merci a tous, j’ai fini par virer le firewall !