IPtables ne se lance pas [Résolu] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 04-11-2007 à 11:19:14
ton fichier /etc/init.d/iptables est mal encodé (je pense) edite le avec kate ou un autre editeur et cherche à changer l'encodage des fins de ligne, qui doit être sur Windows, tu met Unix.
Marsh Posté le 04-11-2007 à 11:21:34
Gavrinis a écrit : Bonjour, |
Faut lire les messages.
bad interpreter=> /bin/bash/^M est un mauvais shell
A priori tu as édité ce fichier sous windows, tu as des caractères merdique à la fin de chaque ligne.
=> /bin/bash/^M
tu peux utiliser dos2unix pour les enlever proprement.
Le truc bizarre c'est le / après bash...
normalement c'est /bin/bash
Marsh Posté le 04-11-2007 à 12:55:17
Merci beaucoup c'était bien ça
Cependant de nouveaux problèmes sont arrivés :
Code :
|
j'ai essayé avec "tcp" (en minuscule) mais rien n'a changé.
J'ai cherché sur Google mais je n'ai pas trouvé de solution.
Puis il y a aussi un autre problème qui me pollue mes logs :
Code :
|
Marsh Posté le 04-11-2007 à 13:00:10
Vérifie que dans le fichier /etc/protocols tu as bien une ligne pour tcp sinon utilise 6 pour tcp et 17 pour udp ou retrouve un fichier correct. Ce n'est pas explicite dans le man, mais il me semble que c'est en majuscule
Essaye -m state
Marsh Posté le 04-11-2007 à 13:00:43
sinon ton log a priori c'est du trafic SAMBA. Tu dois avoir un service SAMBA (partage de fichier avec des windows entre autre) qui tourne et que tu n'as pas correctement autoriser.
Marsh Posté le 04-11-2007 à 13:11:49
Pour ce qui est du "/etc/protocols" il contient déjà tcp en 6 et udp en 17.
Pour le 'tcp', oui il est en minuscule dans le man mais comme je l'ai déjà essayé en minuscule et majuscule et que ça ne passe pas, je ne sais plus trop quoi faire.
Ton "-m state" je ne sais pas trop où le mettre et pour Samba, je vais y regarder de plus près.
Marsh Posté le 04-11-2007 à 13:52:07
Pour le "-m state" c'est Ok j'ai trouvé où le mettre et pour Samba, j'ai beau parcourir différents forums et utiliser différentes manières proposées mais rien ne fait et les erreurs continuent.
Marsh Posté le 04-11-2007 à 14:02:50
En fait c'est pas samba, c'est netbios...
Ben il faut que tu fasses comme pour les autres règles
-o labonneinterface -p udp --dport 137 --sport 137 -m state --state NEW -j ACCEPT
par exemple
Marsh Posté le 04-11-2007 à 14:10:46
j'avais ajouter ça, mais ça ne passait toujours pas :
Code :
|
donc il faut que j'ajoute "--sport 137" mais ai-je toujours besoin du "-A INPUT" ?
Marsh Posté le 04-11-2007 à 14:49:47
j'ai fait un :
Code :
|
mais toujours les mêmes erreurs.
Marsh Posté le 04-11-2007 à 16:03:56
Qu'est ce qui te reste comme erreurs pour l'instant quand tu lances ton script ?
Pour le message dans le log, comment as tu rajouté la règle ? apres avoir lancé le script ou dans le script avant la règle pour le LOG ?
Si j'étais toi :
je rajouterais un -m state --state NEW pour chaque -j ACCEPT (excepté pour le -m stae --state ESTABLISHED,RELATED)
Marsh Posté le 04-11-2007 à 17:27:54
Mon script ne se lance pas tout seul .
Une fois lançé j'ai droit à des :
Code :
|
Puis j'ai toujours les erreurs (les mêmes) qui polluent mes logs.
Je ne comprends pas ce que tu veux dire par "avant la règle pour le log" .
Merci pour le conseil .
Marsh Posté le 04-11-2007 à 17:35:55
Ben la règle autorisant les paquets à destination du port UDP 137 doit se placer dans ton script avant la règle de logging...
Marsh Posté le 04-11-2007 à 17:54:50
il ne me semble pas avoir de règle de logging tout mes scripts en rapport avec IPtables se trouve tout en haut, je n'ai rien de plus
Marsh Posté le 04-11-2007 à 18:04:58
ben si les règles 89, 90, 91. C'est toi qui a fait le script ?
T'as regardé un peu le fonctionnement d'iptables/netfilter ?
regardes un peu http://christian.caleca.free.fr/netfilter.html
Marsh Posté le 04-11-2007 à 18:07:24
ah excuse moi non ce n'est pas moi qui ait fait le script, oui j'ai lu plusieurs doc avant d'attaquer le sujet.
Marsh Posté le 04-11-2007 à 18:09:39
o'gure a écrit : Ben la règle autorisant les paquets à destination du port UDP 137 doit se placer dans ton script avant la règle de logging... |
C'est déjà le cas vu que ma règle ce trouve actuellement en ligne 57 alors que les lignes de logs vont de 113 à 115.
Marsh Posté le 04-11-2007 à 18:26:54
Je pense que je vais abandonner ce script et utiliser celui d'Alexis de Lattre, mais je réemploierai tout de même certaines règles de celui-ci
Marsh Posté le 04-11-2007 à 18:42:53
Je me demande si je ne travaillais pas à l'envers, je mettais des OUTPUT alors qu'il me parait plus logique de mettre des INPUT.
Pourrais-je avoir une confirmation s'il vous plaît ?
Marsh Posté le 04-11-2007 à 18:55:07
Ca depend ce que tu veux faire, du niveau de sécu que tu veux, du rôle du firewall.
Généralement on ouvre en input pour des services qu'on héberge, et en output pour du trafic qu'on génère depuis le firewall.
Marsh Posté le 04-11-2007 à 19:01:48
D'accord merci, tout compte fait je ne passe pas sur celui d'Alexis de Lattre, je ne fais qu'ajouter ces règles supplémentaires aux miennes.
Je vais passer le nécessaire en INPUT alors, une fois terminé je le testerai et reposterai le script
Marsh Posté le 04-11-2007 à 19:30:58
par passer le nécessaire en INPUT tu veux dire que pour un flux par exemple HTTP sur le port 80 de n'importe quel serveur sur internet tu vas mettre 2 règles ?
oublie et regarde mieux ce que fais le match state, il te suffit de passer le premier paquet par ce match en --state NEW et le reste est automatiquement autorisé via -- state ESTABLISHED.
Marsh Posté le 04-11-2007 à 20:11:34
Voici le nouveau script :
Code :
|
Les erreurs sont toujours les mêmes :
Code :
|
et ...
Code :
|
sur les ports 137, 138 et 139.
Marsh Posté le 04-11-2007 à 20:31:16
oui parce que tu as des paquets udp port 137, 138, 139 qui sont généré PAR ton équipement/firewall et que tu n'as aucune règle qui ne les accepte à sortir. (en OUTPUT elle se heure à la derniere regle : -j DROP)
Pour l'instant tu n'acceptes que le traffic généré par unéquipement sur le réseau à joindre le port UDP 137...
=> tu dois faire un iptables -A OUTPUT -m state --state NEW -p udp --sport 137 --dport 137 -j ACCEPT en plus
Marsh Posté le 04-11-2007 à 20:32:57
sinon en 57 et 62 utilise -m state
pour le TCP, je vois pas.
Marsh Posté le 04-11-2007 à 22:57:16
Il continue ses erreurs sur le port 137 .
Dois-je aussi mettre "iptables -A OUTPUT -m state --state NEW -p udp --sport 137 --dport 137 -j ACCEPT" sur 135, 138, 139 et 445 ?
Au sujet de "tcp", j'ai droit aussi à l'udp maintenant :
Code :
|
Enfin soit j'abandonne pour aujourd'hui , bonne fin de soirée et merci
Marsh Posté le 04-11-2007 à 11:06:01
Bonjour,
J'aimerais installer un firewall sur Debian (sans GUI), j'ai suivis une documentation qui explique pour IPtables mais au résultat ça ne va pas. Mon Deamon IPtables ne se lance pas au démarrage et quand je fais "/etc/init.d/iptables start" j'obtiens cette erreur :
/etc/iptables_start :
/etc/iptables_stop :
/etc/init.d/iptables :
Merci d'avance pour votre aide car je ne m'en sors plus
Message édité par Gavrinis le 11-01-2009 à 14:51:46