probleme avec iptables : modules (resolu), forwarding maintenant

probleme avec iptables : modules (resolu), forwarding maintenant - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-04-2006 à 17:55:38    

bonjour,
 
toutes lignes iptables qui l'argument --state  me retournent :
 
iptables: No chain/target/match by that name
 
 
comme:
 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
le reste marche bien, je peux le vérifier avec iptables -L
 
j'ai bien lu la doc un peu partout, mais ils disent que ca peut venir de plein de chose, comme un module pas chargé, mais la encore je ne sais pas quel est le module en question
 
 
------------------------------------------------- resolu ------------------------------------------------------------
 
cf 4 eme poste pour le forwarding


Message édité par dam1330 le 27-04-2006 à 11:37:27
Reply

Marsh Posté le 26-04-2006 à 17:55:38   

Reply

Marsh Posté le 26-04-2006 à 18:32:53    

bon bein j'ai trouvé tout seul, le modula doit avoir changé de nom:
j'avais lu ca:
CONFIG_IP_NF_MATCH_STATE - Il s'agit d'une des plus importantes nouveautés vis-à-vis d'ipchains. Ce module permet de faire de la correspondance d'état sur les paquets. Par exemple, si vous avez déjà observé un trafic dans les deux directions sur une connexion TCP, les paquets concernés seront repérés par la mention ESTABLISHED.
 
 
dans mon noyau 2.6.16.X il s'appelle CONFIG_NETFILTER_XT_MATCH_STATE
et comme y a écrit NEW devant je l'avais pas mis

Reply

Marsh Posté le 26-04-2006 à 18:49:43    

merci pour l'explication, ca va me servir :)

Reply

Marsh Posté le 27-04-2006 à 12:17:15    

bon maintenant ca marche pas mal, sauf deux truc que  je ne comprends pas.
voici mon script actuel, je me suis inspiré un peu partout
 
reseau
 
PC1(192.168.0.3) ---------- (eth0:192.168.0.2)ROUTEUR(eth1:192.168.5.10)---------------PC2(192.168.5.11)
 
 

Code :
  1. #!/bin/sh
  2. # /etc/network/if-pre-up.d/iptables-start
  3. # Script qui démarre les règles de filtrage "iptables"
  6. # REMISE à ZERO des règles de filtrage
  7. iptables -F
  8. iptables -t nat -F
  12. # DEBUT des "politiques par défaut"
  14. # Je veux que les connexions entrantes soient bloquées par défaut
  15. iptables -P INPUT DROP
  17. # Je veux que les connexions destinées à être forwardées
  18. # soient bloquées par défaut
  19. iptables -P FORWARD DROP
  21. # Je veux que les connexions sortantes soient bloquées par défaut
  22. iptables -P OUTPUT DROP
  24. # FIN des "politiques par défaut"
  27. ###################
  28. # pas de spoofing
  29. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  30. then
  31.   for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  32.     do
  33.        echo 1 > $filtre
  34.     done
  35. fi
  36. ###################
  40. ###################
  41. # pas de synflood 
  42. if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
  43.     echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  44. fi
  45. ###################
  47. # DEBUT des règles de filtrage
  49. #on accepte le forward
  50. #iptables -A FORWARD -i eth1 -o eth0 -j  ACCEPT
  51. #iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT
  53. # Pas de filtrage sur l'interface de "loopback"
  54. iptables -A INPUT -i lo -j ACCEPT
  55. iptables -A OUTPUT -o lo -j ACCEPT
  57. # J'accepte le protocole ICMP (i.e. le "ping" ) uniquement venant de l'interface eth0
  58. #iptables -A INPUT -p icmp -i eth0 -j ACCEPT
  59. iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
  60. iptables -A OUTPUT -p icmp -o eth1 -j ACCEPT
  63. # J'accepte le protocole IGMP (pour le multicast)
  64. iptables -A INPUT -p igmp -j ACCEPT
  67. # J'accepte les packets entrants et sortants relatifs à des connexions déjà établies
  68. iptables  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  69. iptables  -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  73. # Décommentez la ligne suivante pour que le serveur SSH éventuel
  74. # soit joignable de l'extérieur
  75. iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
  76. iptables -A OUTPUT -p tcp --dport 22 -o eth0 -j ACCEPT
  78. iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
  79. iptables -A OUTPUT -p tcp --dport 22 -o eth1 -j ACCEPT
  82. #Auto Ban 
  83. iptables -I INPUT -p tcp --destination-port 22 -i eth0 -m state --state NEW -m recent --set 
  84. iptables -I INPUT -p tcp --destination-port 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP
  86. #On accepte le surf sur la machine locale
  87. iptables -A OUTPUT -o eth0 -p tcp --destination-port 80 -j ACCEPT
  88. iptables -A INPUT -i eth0 -p tcp --source-port 80 -j ACCEPT
  92. # FIN des règles de filtrage
  95. # DEBUT des règles pour le partage de connexion (i.e. le NAT)
  97. # Décommentez la ligne suivante pour que le système fasse office de
  98. # "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
  99. # à Internet
  100. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  104. # FIN des règles pour le partage de connexion (i.e. le NAT)
  107. # DEBUT des règles de "port forwarding"
  109. # Décommentez la ligne suivante pour que les requêtes TCP reçues sur
  110. # le port 80 de l'interface eth0 soient forwardées à la machine dont
  111. # l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
  112. # forwardée au client)
  114. iptables -t nat -A PREROUTING -d 192.168.0.2 -p tcp --dport 80 -j DNAT --to-destination 192.168.5.11:80
  115. # FIN des règles de "port forwarding"


 
 
la deniere regle ne fonctionne pas, je n'arrive pas a joindre mon serveur web, je me connecte depuis le pc1 en faisant http://192.168.0.2 et ca me fait "connectiong to ....." pendant une eternité sur firefox
 
 
ensuite je voudrais permettre UNIQUEMENT le WEB sur l'interface locale:
je n'y arrive pas. c'est tout ou rien.
 
avec ca:
iptables -P FORWARD DROP
iptables -A FORWARD -i eth1 -o eth0 -j  ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
tout passe (normal), ne peut on pas accepter que le port 80 ?
 
 
D'autres commentaires sur mon script ?


Message édité par dam1330 le 27-04-2006 à 12:18:08
Reply

Marsh Posté le 27-04-2006 à 13:51:51    

bon bien j'avance a petit pas: pour fowarder que le net j'ai fait:
iptables -A FORWARD  -p tcp --destination-port www -j ACCEPT
iptables -A FORWARD  -p tcp --source-port www -j ACCEPT
 
iptables -A FORWARD  -p udp --destination-port 53 -j ACCEPT
iptables -A FORWARD  -p udp --source-port 53 -j ACCEPT
 
la plus rien ne passe sur le local sauf le net
 
pour le ftp (client) j'ai mis
iptables -A FORWARD  -p tcp --destination-port 20:21 -j ACCEPT
iptables -A FORWARD  -p tcp --source-port 20:21 -j ACCEPT
 
je peux connecter sur ftpperso.free.fr, mais pas sur les ftp passifs:
Impossible de récupérer ftp://ftp.nerim.net/debian-marill [...] elease.gpg  Impossible de se connecter au port en mode passif.
 
 
et par ailleurs j'ai toujours pas de port forwarding, je peux pas joindre mon serveru web !!!
EDIT: bon enfait je pensais avoir mis YES dans /etc/network/options pour ip_forward mais en fait c'etais non


Message édité par dam1330 le 27-04-2006 à 16:24:13
Reply

Marsh Posté le 27-04-2006 à 22:31:39    

"bon enfait je pensais avoir mis YES dans /etc/network/options pour ip_forward mais en fait c'etais non" -> donc ca marche maintenant?
je suis pas un expert d'iptables, mais je peux peut etre te filer un coup de main :)


Message édité par Ted41 le 27-04-2006 à 22:31:54
Reply

Marsh Posté le 27-04-2006 à 22:46:34    

oui ca marche maintenant
 
 
il me reste que le ftp passif

Message cité 1 fois
Reply

Marsh Posté le 27-04-2006 à 23:15:38    

dam1330 a écrit :

oui ca marche maintenant
 
 
il me reste que le ftp passif


 
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
 
;)


Message édité par Mikouze le 27-04-2006 à 23:15:56
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed