Règle iptables

Règle iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-10-2006 à 20:08:05    

Bonjour,
 
Je laisse mon voisin accèder à Internet de chez moi en wifi, mais ne veux pas qu'il ait accès à mes partages de fichiers (sur  windows).
Quelles commande iptables dois-je taper sur mon routeur linksys wrt54g pour refuser toute utilisation de ce protocole (SMB?) pour la machine 192.168.1.104?
 
merci.
binouche22

Reply

Marsh Posté le 03-10-2006 à 20:08:05   

Reply

Marsh Posté le 06-10-2006 à 20:47:02    

up

Reply

Marsh Posté le 06-10-2006 à 21:03:35    

http://howto.stephane-huc.net/IpTables/ports/
 
en remplacant accept par drop et en rajoutant les bonnes ip source et destination

Reply

Marsh Posté le 07-10-2006 à 10:17:46    

merci pour l'info, j'ai donc fait
 

Code :
  1. # EPMAP => définit toutes les RPC !
  2. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 135 -j DROP
  3. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 135 -j DROP
  4. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 135 -j DROP
  5. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 135 -j DROP
  8. # NetBios-NS
  9. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 137 -j DROP
  10. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 137 -j DROP
  11. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 137 -j DROP
  12. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 137 -j DROP
  14. # NetBios-DGM => exploration du réseau (basé sur SMB browser service)
  15. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 138 -j DROP
  16. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 138 -j DROP
  19. # NetBios-SSN => partage fichiers, imprimantes par Microsoft
  20. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 139 -j DROP
  21. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 139 -j DROP
  23. # SMB/IP => partage fichiers, imprimantes par SaMBa
  24. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 445 -j DROP
  25. iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 445 -j DROP
  26. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p TCP --sport 445 -j DROP
  27. iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d 192.168.1.104 -p UDP --sport 445 -j DROP


 
.... mais ça ne marche pas :( , c'est comme si j'avais rien fait...


Message édité par binouche22 le 07-10-2006 à 11:34:28
Reply

Marsh Posté le 07-10-2006 à 17:34:47    

comment ca "ca marche pas"? il a toujours acces a tes partages? comment tu peux le savoir?

Reply

Marsh Posté le 07-10-2006 à 23:36:55    

j'ai testé en donnant a un de mes ordis cette adresse ip et il accède sans soucis aux partage de fichiers...

Reply

Marsh Posté le 08-10-2006 à 00:57:27    

que te renvoit un :
 
 iptables -L -v -n

Message cité 1 fois
Reply

Marsh Posté le 08-10-2006 à 10:44:39    

krifur a écrit :

que te renvoit un :
 
 iptables -L -v -n


 


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
  437 37537 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    1    64 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           state NEW
   24  1118 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logdrop    icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 logdrop    2    --  *      *       0.0.0.0/0            0.0.0.0/0
   35  6588 logdrop    all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:135
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:135
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:138
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:139
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:445
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:445
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:135
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:135
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:137
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:138
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:139
    0     0 DROP       tcp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:445
    0     0 DROP       udp  --  *      *       192.168.1.104        0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:445
 
 
[...]
 
Chain OUTPUT (policy ACCEPT 470 packets, 168K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:135
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:135
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:138
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:139
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:445
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:445
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:135
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:135
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:137
    0     0 DROP       udp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED udp spt:138
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:139
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.1.104       state NEW,RELATED,ESTABLISHED tcp spt:445
 
[...]


 
désolé c'est peu lisible =(

Reply

Marsh Posté le 08-10-2006 à 12:45:42    

si c'est tu ton openwrt que tu as mis ca, il faut utiliser les chaines FORWARD, pas INPUT/OUTPUT !

Reply

Marsh Posté le 08-10-2006 à 14:59:27    

Citation :

si c'est tu ton openwrt que tu as mis ca, il faut utiliser les chaines FORWARD, pas INPUT/OUTPUT !


 
je suis vraiment pas doué avec iptables, tu pourrais me donner un exemple?

Reply

Marsh Posté le 08-10-2006 à 14:59:27   

Reply

Marsh Posté le 08-10-2006 à 17:23:11    

Les chaines INPUT et OUTPUT sont respectivement pour le traffic arrivant et sortant SUR et DE la machine sur laquelle iptables est installé.
 
La chaine FORWARD est pour le traffic qui TRANSITE par le firewall
Du coup pour ton probleme tu devrait mettre
 
iptables -A FORWARD ...
 
Jette un coup d'oeil a ce site pour comprendre comment iptables marche:
http://christian.caleca.free.fr/netfilter/filter.htm
http://christian.caleca.free.fr/netfilter/iptables.htm


Message édité par l0ky le 08-10-2006 à 17:25:33
Reply

Marsh Posté le 08-10-2006 à 21:24:20    

bon j'ai mis ca mais ca marche tjs pas...
 

# EPMAP => définit toutes les RPC !
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 135 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 135 -j DROP
 
 
# NetBios-NS
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 137 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 137 -j DROP
 
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 138 -j DROP
 
 
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 139 -j DROP
 
# SMB/IP => partage fichiers, imprimantes par SaMBa
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p TCP --dport 445 -j DROP
 iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -s 192.168.1.104 -p UDP --dport 445 -j DROP


Reply

Marsh Posté le 09-10-2006 à 23:33:26    

Tu peux essayer en mettant la politique par defaut sur DROP, comme ca si un paquet ne matche aucune regle, il est droppe, c'est recommande dans la grande majorite des tutos de firewalling.
 
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  DROP

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed