Rsyn c et Iptables marche pas !

Support Debian
#1

Bonjour,
J’ai un script Iptables que PascalHambour ma généreusement fait :

[code]iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

autoriser le trafic local

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

suivi de connexion

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

autoriser les connexions sortantes vers internet

iptables -A OUTPUT -o eth0 -j ACCEPT

autoriser les connexions entrantes depuis le LAN

iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT

autoriser les connexions VNC-SSH sortantes vers le LAN

iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 5900 -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 873 -j ACCEPT

Ports sepciaux a ouvrir

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58400 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58410 -j ACCEPT

autoriser les connexions entrantes HTTP et FTP depuis internet

FTP requiert le module de suivi de connexion ip_conntrack_ftp ou nf_conntrack_ftp

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

Bloquer l’acces a internet depuis xx.xx.xx.xx

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.30.12 -j REJECT --reject-with admin-prohib

autoriser les connexions routees du LAN vers internet

iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

masquage source necessaire si le routeur amont n’a pas de route de retour vers le LAN

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE[/code]

Pour Rsync , dois-je rajouter une ligne spécifique ? car quand je lance la commande rsync de mon serveur, j’ai cette erreur :

serveur@srv-lagache:~/Iptables$ rsync -avz --stats --delete 192.168.30.11::original /copie/chris @ERROR: Unknown module 'original' rsync error: error starting client-server protocol (code 5) at main.c(1383) [receiver=2.6.9] serveur@srv-lagache:~/Iptables$ rsync -avz --stats --delete 192.168.30.11::original_chris /copie/chris receiving file list ... rsync: opendir "/.dbus" (in original_chris) failed: Permission denied (13) done IO error encountered -- skipping file deletion
Merci

#2

Peux tu nous décrire ton réseau déjà, pour vérifier si ton script a été fait sur mesure pour ton PC ou si c’est un truc général que tu utilises (pas si général que ca).
Quand on lit ton script, il semblerait que tu ais une machine qui te sert de passerelle à ton réseau pour sortir sur internet et que tu interdise un PC admin à sortir.

Est ce bon ou ai je tout faux ?

il te faudra ajouter une ligne au moins pour autoriser cette connexion si ca sort ou entre dans ton réseau. S’il s’agit d’une connexion interne, il faut voir les firewall de ces dites machines, mais pas celui de ta passerelle. Quel est le client et quelle machine te servira de server Rsync ?

Mais bon, en voyant le message d’erreur, je doute que cela vienne de ton firewall, car celui-ci drop les paquets non identifié et ton message d’erreur te dit “denied”, accès refusé. Il y a donc eut communication entre le client et le serveur, le firewall ne t’a donc pas interdit l’accès… :slightly_smiling: Sinon, le message devrait etre du genre machine non trouvée… (je n’ai jamais utilisé Rsynch, donc je peux me tromper :astonished:)

Salut.

#3

Mon serveur est sous Etch, avec le script iptables du post précédent, mon interface vers l’exterieur est 192.168.1.2, vers le lan c’est 192.168.30.1.
Mon pc-1 est sous Ubuntu, sans utiliser Iptables, il a pour interface 192.168.30.11, jene peux pinger de mon serveur vers pc-1 dûe au script Iptables, ca c’est normal, je peut faire du ssh sans problème, mais rsync non …
Ubuntu est une LTS 8.04 sans rien de bien particulier

Mon /etc/rsyncd.conf d’ubuntu est :

uid = chris gid = chris [original_chris] comment = Synchro_chris path = /home/chris list = yes

Ca aide plus ???

#4

J’apporte un élèment de réponse, éffectivement en supprimant toutes mes règles Iptables, le script fonctionne, donc je dois bien rajouter une règle pour Rsync dans Iptables…

#5

Voiçi la ligne que j’ai rajoutée ( la dernière… ) :

[code]# autoriser les connexions VNC-SSH sortantes vers le LAN
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 5900 -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Rsync

iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 873 -j ACCEPT[/code]

Quelqu’un peut me confirmer l’exactitude de son emplacment et/ou les modifs à faire ?

Merci