Serveur DNS bloqué par firewall

Serveur DNS bloqué par firewall - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 21-04-2003 à 13:11:45    

Voila j'ai installé un petit serveur DNS sur ma machine Linux (192.168.0.1) il fonctionne parfaitement le firewall coupé, mais quand celui ci est levé, je n'arrive plus a resoudre les dns (nslookup me dit qu'il ne peut etablire de connexion)
 
Voici le script :

Code :
  1. #!/bin/bash
  3. #####################
  4. # Reset du firewall #
  5. #####################
  6. iptables -F
  7. iptables -X
  8. iptables -P INPUT ACCEPT
  9. iptables -P FORWARD ACCEPT
  10. iptables -P OUTPUT ACCEPT
  12. ######
  13. # IP #
  14. ######
  16. INET_IP="192.168.0.1"
  17. INET_IFACE="eth0"
  19. #############
  20. # Localhost #
  21. #############
  23. LO_IFACE="lo"
  24. LO_IP="127.0.0.1"
  26. ###########################
  27. # IPTables Configuration #
  28. ##########################
  30. IPTABLES="/sbin/iptables"
  32. ######################
  33. # Proc configuration #
  34. ######################
  36. echo "1" > /proc/sys/net/ipv4/ip_forward
  38. ####################
  39. # Bloquer les Ping #
  40. ####################
  42. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
  44. #########################
  45. # Bloquer le BroadCasts #
  46. #########################
  48. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  51. $IPTABLES -P INPUT DROP
  52. $IPTABLES -P OUTPUT DROP
  53. $IPTABLES -P FORWARD DROP
  55. ###############
  56. # Bad Packets #
  57. ###############
  59. $IPTABLES -N bad_tcp_packets
  61. ###############
  62. # ICMP TCP UP #
  63. ###############
  65. $IPTABLES -N allowed
  66. $IPTABLES -N icmp_packets
  67. $IPTABLES -N tcp_packets
  68. $IPTABLES -N udpincoming_packets
  70. ###################
  71. # Bad_tcp_packets #
  72. ###################
  74. $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
  75. --log-prefix "New not syn:"
  76. $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
  78. ###########
  79. # Allowed #
  80. ###########
  82. $IPTABLES -A allowed -p TCP --syn -j ACCEPT
  83. $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  84. $IPTABLES -A allowed -p TCP -j DROP
  86. ################
  87. # TCP/IP Rules #
  88. ################
  90.         #-> SSH
  91.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
  93.         #-> APACHE
  94.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
  95.        
  96.         #-> FTP
  97.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
  99. #######
  100. # DNS #
  101. #######
  103. $IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
  104. $IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
  105. $IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
  106. $IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT 
  108.        
  109. ##############
  110. # ICMP rules #
  111. ##############
  113. $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
  114. $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP
  117. ###################################
  118. # Packet TCP/IP en INPUT : DENIED #
  119. ###################################
  121. $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
  123. ##############################
  124. # INPUT, debloquer 127.0.0.1 #
  125. ##############################
  127. $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
  129. #########################
  130. # Rules rezeau en INPUT #
  131. #########################
  133. $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
  134. -j ACCEPT
  135. $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
  136. $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
  137. $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
  139. #######
  140. # Log #
  141. #######
  143. $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  144. --log-level DEBUG --log-prefix "IPT INPUT packet died: "
  146. ####################################
  147. # Packet TCP/IP en OUTPUT : DENIED #
  148. ####################################
  150. $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
  152. ################
  153. # LAN ou Local #
  154. ################
  156. $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
  157. $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
  159. #######
  160. # Log #
  161. #######
  163. $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  164. --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "


 
Je pense pourtant avoir autorisé correctement les dns mais ca ne fonctionne pas
 
si quelqu'un voit le probleme dans mon script ...

Reply

Marsh Posté le 21-04-2003 à 13:11:45   

Reply

Marsh Posté le 21-04-2003 à 13:18:39    

Code :
  1. $IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
  2.   $IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
  3.   $IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
  4.   $IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

 
 
deja ca ne sert a rien les input, tu veux pas faire serveur de dns pour le net n'est-ce pas ?
eth0 c bien l'interface ou est branché ton modem ?
sinon regarde les logs ...
 
A+


Message édité par Aragorn_1er le 21-04-2003 à 13:19:15
Reply

Marsh Posté le 21-04-2003 à 13:21:18    

Aragorn_1er a écrit :

Code :
  1. $IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
  2.   $IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
  3.   $IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
  4.   $IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

 
 
deja ca ne sert a rien les input, tu veux pas faire serveur de dns pour le net n'est-ce pas ?
eth0 c bien l'interface ou est branché ton modem ?
sinon regarde les logs ...
 
A+  


 
En fait le serveur est connecté a un switch lui meme relié a un routuer qui lui a mla connexion internet

Reply

Marsh Posté le 21-04-2003 à 13:25:43    

il me semble que :  
 

Code :
  1. $IPTABLES -A INPUT -i eth0 --protocol udp --dport 53 -j ACCEPT
  3. $IPTABLES -A OUTPUT -o eth0 --protocol udp --sport 53 -j ACCEPT
  4. $IPTABLES -A INPUT -i eth0 --protocol tcp --dport 53 -j ACCEPT
  5. $IPTABLES -A OUTPUT -o eth0 --protocol tcp --sport 53 -j ACCEPT

 
 
 
me parait plus logique ( mais non vérifié )

Reply

Marsh Posté le 21-04-2003 à 13:32:34    

becket a écrit :

il me semble que :  
 

Code :
  1. $IPTABLES -A INPUT -i eth0 --protocol udp --dport 53 -j ACCEPT
  3. $IPTABLES -A OUTPUT -o eth0 --protocol udp --sport 53 -j ACCEPT
  4. $IPTABLES -A INPUT -i eth0 --protocol tcp --dport 53 -j ACCEPT
  5. $IPTABLES -A OUTPUT -o eth0 --protocol tcp --sport 53 -j ACCEPT

 
 
 
me parait plus logique ( mais non vérifié )


 
Ne fonctionne pas non plus :(
Vraiment je ne comprends pas

Reply

Marsh Posté le 21-04-2003 à 13:40:53    

Ca ne sert a rien de mettre des input !
quand tu fais une requete dns tu initie une connexion, pas l'inverse c pas le serveur qui se demande de te connecter a toi !
de plus avec ca la connexion n auras aucun pbs :

Code :
  1. $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT


 
peux tu nous sortir un :  iptables -L -v
 
A+

Reply

Marsh Posté le 21-04-2003 à 13:48:03    

Code :
  1. Chain INPUT (policy DROP 195 packets, 17860 bytes)
  2. pkts bytes target     prot opt in     out     source               destination       
  3.     0     0 ACCEPT     udp  --  eth0   any     anywhere             anywhere           udp dpt:domain
  4.     0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere           tcp dpt:domain
  5.   162  8024 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere         
  6.     0     0 ACCEPT     all  --  lo     any     Master          anywhere         
  7.   111  5904 ACCEPT     all  --  any    any     anywhere             192.168.0.1        state RELATED,ESTABLISHED
  8.     1    48 tcp_packets  tcp  --  eth0   any     anywhere             anywhere         
  9.    79  9551 udpincoming_packets  udp  --  eth0   any     anywhere             anywhere         
  10.    24   672 icmp_packets  icmp --  eth0   any     anywhere             anywhere         
  11.    33  2643 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '
  13. Chain FORWARD (policy DROP 0 packets, 0 bytes)
  14. pkts bytes target     prot opt in     out     source               destination       
  16. Chain OUTPUT (policy DROP 0 packets, 0 bytes)
  17. pkts bytes target     prot opt in     out     source               destination       
  18.     0     0 ACCEPT     udp  --  any    eth0    anywhere             anywhere           udp spt:domain
  19.     0     0 ACCEPT     tcp  --  any    eth0    anywhere             anywhere           tcp spt:domain
  20.    98 10235 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere         
  21.     0     0 ACCEPT     all  --  any    any     Master          anywhere         
  22.   215 18652 ACCEPT     all  --  any    any     192.168.0.1          anywhere         
  23.     0     0 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '
  25. Chain allowed (3 references)
  26. pkts bytes target     prot opt in     out     source               destination       
  27.     1    48 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN
  28.     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
  29.     0     0 DROP       tcp  --  any    any     anywhere             anywhere         
  31. Chain bad_tcp_packets (2 references)
  32. pkts bytes target     prot opt in     out     source               destination       
  33.    50  2072 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
  34.    50  2072 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW
  36. Chain icmp_packets (1 references)
  37. pkts bytes target     prot opt in     out     source               destination       
  38.    24   672 DROP       icmp --  any    any     anywhere             anywhere           icmp echo-request
  39.     0     0 DROP       icmp --  any    any     anywhere             anywhere           icmp time-exceeded
  41. Chain tcp_packets (1 references)
  42. pkts bytes target     prot opt in     out     source               destination       
  43.     1    48 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh
  44.     0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:http
  45.     0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ftp
  47. Chain udpincoming_packets (1 references)
  48. pkts bytes target     prot opt in     out     source               destination       
  49.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27016
  50.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27017
  51.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27018
  52.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27019
  53.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27020
  54.     0     0 ACCEPT     udp  --  any    any     192.168.0.0/23       anywhere           udp dpt:27025


 
Merci de ton aide :)

Reply

Marsh Posté le 21-04-2003 à 13:58:54    

Met ca :

Code :
  1. $IPTABLES -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
  2. $IPTABLES -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT


 
Mais regarde dans les logs pour voir ce ki est refuser !
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:02:03    

Aragorn_1er a écrit :

Met ca :

Code :
  1. $IPTABLES -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
  2. $IPTABLES -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT


 
Mais regarde dans les logs pour voir ce ki est refuser !
 
A+


 
j'ai un petit probleme  pour regarder dans les logs ( honte a venir ) je ne sais pas ou ils ce trouvent  :cry:

Reply

Marsh Posté le 21-04-2003 à 14:03:15    

Ben dans syslog normallement et aussi dans kern.log .
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:03:15   

Reply

Marsh Posté le 21-04-2003 à 14:17:42    

d'après ton 1er post j'ai compris que tu as un serveur dns pour ton reseau local.
donc si je ne me trompe pas tu as inversé tes sport et dport.
essaye
iptables -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT.
 
où ip_lan=192.168.0.0/24 (ton id reseau)
 
ton serveur dns écoute sur le port 53 en udp (et tcp pour les + gros paquets).accepte donc les nouveaux paquets en provenance de ton LAN qui ont 53 comme dport (et >1024 comme sport)


Message édité par nikosaka le 21-04-2003 à 14:24:55
Reply

Marsh Posté le 21-04-2003 à 14:20:59    

nikosaka a écrit :

d'après ton 1er post j'ai compris que tu as un serveur dns pour ton reseau local.
donc si je ne me trompe pas tu as inversé tes sport et dport.
essaye
iptables -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024:--dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT.
 
où ip_lan=192.168.0.0/24 (ton id reseau)
 
ton serveur dns écoute sur le port 53 en udp (et tcp pour les + gros paquets).accepte donc les nouveaux paquets en provenance de ton LAN qui ont 53 comme dport (et >1024 comme sport)


 
quand je mets ce que tu m'as dit iptable me sort ce message d'erreur:
 
iptables v1.2.6a: invalid UDP port/service `--dport' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: invalid UDP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.

Reply

Marsh Posté le 21-04-2003 à 14:24:06    

soory fais gaffe aux espaces  :D  
je vais éditer mon poste

Reply

Marsh Posté le 21-04-2003 à 14:24:19    

linux n'est plus un os alternatif ?
 
bizarre .....
 
 
 
 


$IPTABLES -P OUTPUT   ACCEPT
 

 
 
 
et on en parle plus  :D


Message édité par com21 le 21-04-2003 à 14:24:42

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 21-04-2003 à 14:25:12    

DNS c'est de l'udp ET du tcp .
 
De plus apprement en regardant les regles de ton firewall tu n a pas de lan donc le input ne sert a rien !
 
et les logs ca donne koi ?
 
sinon pour :

Citation :


iptables v1.2.6a: invalid UDP port/service `--dport' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: invalid UDP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.  

 
 
ces des erreurs de syntaxes
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:26:21    

pour les log je n'arive as a mettre la main dessus :/

Reply

Marsh Posté le 21-04-2003 à 14:29:13    

Y a rien dans /var/log/kernel.olg ou /var/logsyslog ?
 
as tu ceci :
ps aux |grep klogd
root 187 0.0 0.5 1880 1148 ? S Apr07 0:11 /sbin/klogd
 
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:36:20    

Aragorn_1er a écrit :

Y a rien dans /var/log/kernel.olg ou /var/logsyslog ?
 
as tu ceci :
ps aux |grep klogd
root 187 0.0 0.5 1880 1148 ? S Apr07 0:11 /sbin/klogd
 
 
A+


 
rien et  
ps aux | grep klogd
 
me donne :
ps aux |grep klogd
root       949  0.0  0.0  3280  504 pts/0    S    04:33   0:00 grep klogd

Reply

Marsh Posté le 21-04-2003 à 14:38:28    

DNS est à moulte % de l'udp, donc inutile d'autoriser du tcp..
 
Rien qu'en udp ça fonctionne parfaitement !!! Autoriser le tcp, je veux bien moi, mais...
 
T'as déjà logué le traffic sur le port 53 généré par un serveur DNS Aragorn_1er ???
A part tout plein de truc en Udp, moi je n'ai rien vue (à si, une saturation du DD  :p ).
Et aussi, bloque les INPUT, tout de suite ça marche mieux !!!! (comment le serveur DNS il sait que ça requète fonctionne bien ???)
 
Une petite question bète comme choux... Lincam, comment réalises-tu les DNs chez toi ???
 
La machine relier à ton réseau EST la passerelle et c'est elle qui s'en charge (dans ce cas, c'est bien sur les règles INPUT qu'il faut travailler).
Ou ce sont les machines derrire la passerelle qui s'en charge ?? (et la c'est FORWARD).
 
Le passant.

Reply

Marsh Posté le 21-04-2003 à 14:39:29    

c éditer.
effectivement le dns c'est de l udp et du tcp mais le tcp est utilisé que pour les gros + paquets
si tu peux préciser l'utilisation de ton serveur, si c'est le serveur dns d'un LAN . dans ce cas tu doit avoir des règles INPUT : on a jamais vu un serveur refusé des connexions  :sarcastic:


Message édité par nikosaka le 21-04-2003 à 14:41:20
Reply

Marsh Posté le 21-04-2003 à 14:40:38    

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)
 
 
Le passant je ne comprends pas trop t'as question, mais je vais essayer d'etre precis
 
La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.


Message édité par lincam le 21-04-2003 à 14:42:30
Reply

Marsh Posté le 21-04-2003 à 14:40:59    

Tiens, vous me faites douter...
 
Va falloir que je révise tout ça moi  :( .
 
Le passant.

Reply

Marsh Posté le 21-04-2003 à 14:43:44    

alors rajoute ça aussi :
$ipt -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s $DNS1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s $DNS2 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d $DNS1 -m state --state ! INVALID -j ACCEPT
$ipt -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d $DNS2 -m state --state ! INVALID -j ACCEPT
 
où dns1 et dns2 sont les ip du dns de ton FAI
tu peux rajouter les m$emes règles en tcp mais ce n'est pas obligatoire


Message édité par nikosaka le 21-04-2003 à 14:44:48
Reply

Marsh Posté le 21-04-2003 à 14:43:55    

Citation :

effectivement le dns c'est de l udp et du tcp mais le tcp est utilisé que pour les gros + paquets

 
 
Bon chui pas tout seul a avoir le meme avis ...
 
ET comme je le dis avant ( encore faudrait t-il lire mes posts )
 

Citation :

Ca ne sert a rien de mettre des input !
quand tu fais une requete dns tu initie une connexion, pas l'inverse c pas le serveur qui demande de se connecter a toi !
de plus, avec ca la connexion n auras aucun pbs :

Code :
  1. $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

 

 
 
en gros cette ligne assure le suivi de la connexion !
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:52:08    

Citation :

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)
 
La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

 
 
Est-ce que ton firewall est installer sur la meme machine que ton serveur dns ?
 
A+

Reply

Marsh Posté le 21-04-2003 à 14:53:38    

Aragorn_1er a écrit :

Citation :

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)
 
La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

 
 
Est-ce que ton firewall est installer sur la meme machine que ton serveur dns ?
 
A+
 


 
Oui et la machine qui heberge le serveur dns a comme dns le serveur quelle heberge

Reply

Marsh Posté le 21-04-2003 à 14:54:00    

lincam a écrit :

Le passant je ne comprends pas trop t'as question, mais je vais essayer d'etre precis
 
La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.


 
C'est bon, c'est bon... Donc, ça n'est po trop normal que ça ne fonctionne po.
 
Tu as essayé ce que te propose nikosaka ?? Je n'ai malheureusement rien de mieux à te proposer.
 
LE passant.

Reply

Marsh Posté le 21-04-2003 à 14:57:20    

Le passant a écrit :


 
C'est bon, c'est bon... Donc, ça n'est po trop normal que ça ne fonctionne po.
 
Tu as essayé ce que te propose nikosaka ?? Je n'ai malheureusement rien de mieux à te proposer.
 
LE passant.


 
Tout a fait, voici la version acutelle du firewall (qui bloque tjrs les dns :/ ) :
 

Code :
  1. #!/bin/bash
  3. #####################
  4. # Reset du firewall #
  5. #####################
  6. iptables -F
  7. iptables -X
  8. iptables -P INPUT ACCEPT
  9. iptables -P FORWARD ACCEPT
  10. iptables -P OUTPUT ACCEPT
  12. ######
  13. # IP #
  14. ######
  16. INET_IP="192.168.0.1"
  17. INET_IFACE="eth0"
  19. #############
  20. # Localhost #
  21. #############
  23. LO_IFACE="lo"
  24. LO_IP="127.0.0.1"
  26. ###########################
  27. # IPTables Configuration #
  28. ##########################
  30. IPTABLES="/sbin/iptables"
  32. ######################
  33. # Proc configuration #
  34. ######################
  36. echo "1" > /proc/sys/net/ipv4/ip_forward
  38. ####################
  39. # Bloquer les Ping #
  40. ####################
  42. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
  44. #########################
  45. # Bloquer le BroadCasts #
  46. #########################
  48. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  51. #########
  52. # Rulse #
  53. #########
  55. $IPTABLES -P INPUT DROP
  56. $IPTABLES -P OUTPUT DROP
  57. $IPTABLES -P FORWARD ACCEPT
  59. ###############
  60. # Bad Packets #
  61. ###############
  63. $IPTABLES -N bad_tcp_packets
  65. ###############
  66. # ICMP TCP UP #
  67. ###############
  69. $IPTABLES -N allowed
  70. $IPTABLES -N icmp_packets
  71. $IPTABLES -N tcp_packets
  72. $IPTABLES -N udpincoming_packets
  74. ###################
  75. # Bad_tcp_packets #
  76. ###################
  78. $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
  79. --log-prefix "New not syn:"
  80. $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
  82. ###########
  83. # Allowed #
  84. ###########
  86. $IPTABLES -A allowed -p TCP --syn -j ACCEPT
  87. $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  88. $IPTABLES -A allowed -p TCP -j DROP
  90. ################
  91. # TCP/IP Rules #
  92. ################
  94.         #-> SSH
  95.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
  97.         #-> APACHE
  98.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
  99.        
  100.         #-> FTP
  101.         $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
  102.        
  104. #############
  105. # UDP Rules #
  106. #############
  108. ip_lan=192.168.0.0/24
  110. $IPTABLES -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
  111. $IPTABLES -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
  112. $IPTABLES -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s 194.2.0.20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  113. $IPTABLES -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s 194.2.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT
  114. $IPTABLES -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d 194.2.0.20 -m state --state ! INVALID -j ACCEPT
  115. $IPTABLES -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d 194.2.0.50 -m state --state ! INVALID -j ACCEPT
  117. ##############
  118. # ICMP rules #
  119. ##############
  121. $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
  122. $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP
  125. ###################################
  126. # Packet TCP/IP en INPUT : DENIED #
  127. ###################################
  129. $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
  131. ##############################
  132. # INPUT, debloquer 127.0.0.1 #
  133. ##############################
  135. $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
  137. #########################
  138. # Rules rezeau en INPUT #
  139. #########################
  141. $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
  142. -j ACCEPT
  143. $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
  144. $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
  145. $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
  147. #######
  148. # Log #
  149. #######
  151. $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  152. --log-level DEBUG --log-prefix "IPT INPUT packet died: "
  154. ####################################
  155. # Packet TCP/IP en OUTPUT : DENIED #
  156. ####################################
  158. $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
  160. ################
  161. # LAN ou Local #
  162. ################
  164. $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
  165. $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
  167. #######
  168. # Log #
  169. #######
  171. $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  172. --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "


 
si je fais : host google.fr j'ai droit a un beau :  
 
;; connection timed out; no servers could be reached


Message édité par lincam le 21-04-2003 à 14:59:43
Reply

Marsh Posté le 21-04-2003 à 15:10:20    

Un truc que j'ai remarqué et que je ne m'explique pas du tout (chez moi hein, donc tu peux peut-être essayer et voir...) : si je précise les 1024:, à chaque fois je me paye un timeout, sans, ça marche  :??:  :??: .
 
Comprends po, mais essaye. Sais-t'on jamais ??
 
Le passant.

Reply

Marsh Posté le 21-04-2003 à 17:01:50    

tu devrais essayer de mettre les règles que je t'ai donné le plus possible en haut de ton script.
avant tes chaînes perso bad packet, icmp, allowed et  tcp/ip rules

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed