DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2006-06-24 19:27:10
- eXorus
- Invité
IPTABLES
Salut à tous,
je souahite ouvrir un port sur ma dedibox mais je n'y arrive pas.
en faisant "nmap -sT -p XXXX 127.0.0.1"
il me retourne que le port XXX/tcp closed
Ok super donc je rajoute dans iptables:
"iptables -A INPUT -d 127.0.0.1 -p -tcp --dport XXXX -j ACCEPT"
Et je refais la commande nmap, et toujours le meme résultat.
Il faut redémarrer l'ordi? Il faut recharger iptables?
Merci de votre soutien
#2 2006-06-24 19:29:44
Re: IPTABLES
Salut,
Tu viens d'autoriser le port XXX que pour l'IP 127.0.0.1... Normalement si tu fait un truc du genre :
iptables -A INPUT -p -tcp --dport XXXX -j ACCEPT
iptables -A OUTPUT -p -tcp --dport XXXX -j ACCEPT (si par défaut tu bloques ce qui sort)
Ne pas oublié de recharger tes paramétres iptables ( #/etc/init.d/firewall si tes régles sont dans ce fichier par exemple).
Et voilà ça devrait rouler après 
.
Hors ligne
#3 2006-06-24 19:53:43
- eXorus
- Invité
Re: IPTABLES
OK merci mais comment tu fais pour recharger?
J'ai test /etc/init.d/firewall ca fait rien
et "iptables-restore /etc/init.d/firewall" non plus.
#4 2006-06-24 20:03:33
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Pour filtrer sur la loopback, faut aimer chercher les emmerdes.
Hors ligne
#5 2006-06-24 20:04:54
- eXorus
- Invité
Re: IPTABLES
En francais ca donne? 
Par contre je ne sais toujours pas comment recharger iptables
#6 2006-06-24 20:07:39
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
Ca donne que filtrer la loopback n'apporte rien en terme de sécurité, mais tu risques en contrepartie de perdre ton temps à "débugger" des applications parce que t'auras zappé le fait qu'elles utilisent de manière +/- explicite la loopback.
Pour le rechargement des règles, je ne sais pas comment tu as mis en place iptables, je peux pas t'aider.
Hors ligne
#7 2006-06-24 20:10:11
- eXorus
- Invité
Re: IPTABLES
lol je comprend pas tout en faite tu me dit que
"iptables -A INPUT -d 127.0.0.1 -p -tcp --dport XXXX -j ACCEPT"
c'est pas bon? car j'ai précisé la loopback.
C'est le mode par defaut pour iptables, j'ai rien touché.
#8 2006-06-24 20:25:22
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
J'imagine qur la politique par défaut sur les chaines INPUT/OUTPUT est à "DROP" et qu'en suite, tu autorises au fur et à mesure les paquets entrant ou sortant.
Le souci, c'est que dans cette situation, si tu n'as pas de règle autorisant le trafic sur la loopback, tu risques d'avoir des soucis... sans gagner en terme de sécurité, d'où les 2 règles que je proposais (qui autorisent tout trafic sur la loopback). A mon avis, tu dois d'ailleurs déjà avoir une telle règle...
Quand tu fais ton nmap, t'as bien une application (ou un netcat) qui écoute sur le port en question ?
Parce que nmap vers un port qui n'est pas "bindé" à une application, firewall ou pas, ca mènera à rien.
Hors ligne
#9 2006-06-24 21:09:53
- eXorus
- Invité
Re: IPTABLES
Ba je ne peux pas trop te répondre car je ne comprend pas tout.
J'ai installé la ubuntu sur la dedibox tout simplement... Et je pense qu'elle as du mettre certaine réfles par defaut qui se retrouve sur chaque dedibox, non?
Code:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT tcp -- anywhere anywhere tcp spts:webcache:8085 dpts:webcache:8085 ACCEPT tcp -- anywhere anywhere tcp dpt:webcache ACCEPT tcp -- anywhere anywhere tcp spt:webcache ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere sd-2309.dedibox.fr tcp dpt:webcache state NEW ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:webcache Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT tcp -- anywhere anywhere tcp spts:webcache:8085 dpts:webcache:8085 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
Voila ce que ca donne quand on tape iptables -L
#10 2006-06-24 21:24:18
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
eXorus a écrit:
Ba je ne peux pas trop te répondre car je ne comprend pas tout.
Il va bien falloir comprendre un jour. Le plus vite sera le mieux. Au boulot !
eXorus a écrit:
J'ai installé la ubuntu sur la dedibox tout simplement... Et je pense qu'elle as du mettre certaine réfles par defaut qui se retrouve sur chaque dedibox, non?
Y a tellement d'options possibles qu'on va pas se lancer dans des assertions foireuses.
Vaut mieux faire un iptables -L -v comme tu viens de le faire.
Les règles ci-dessous, elles viennent d'où ? Tu as défini toi même les règles avec les ports 3724, 8085, 8080... ?
eXorus a écrit:
Code:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT tcp -- anywhere anywhere tcp spts:webcache:8085 dpts:webcache:8085 ACCEPT tcp -- anywhere anywhere tcp dpt:webcache ACCEPT tcp -- anywhere anywhere tcp spt:webcache ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere sd-2309.dedibox.fr tcp dpt:webcache state NEW ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:webcache Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT tcp -- anywhere anywhere tcp spts:webcache:8085 dpts:webcache:8085 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp spt:3724 dpt:3724 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHEDVoila ce que ca donne quand on tape iptables -L
Refais avec -v pour avoir aussi les interfaces. Il est probable que tu aies déjà dans le tas des règles pour autoriser le trafic sur la loopback.
Dernière modification par Calimero (2006-06-24 21:24:59)
Hors ligne
#11 2006-06-24 21:32:57
- eXorus
- Invité
Re: IPTABLES
Code:
Chain INPUT (policy ACCEPT 5 packets, 1390 bytes)
pkts bytes target prot opt in out source destination
1848 159K ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
277 27696 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
11 567 ACCEPT all -- lo any anywhere anywhere
0 0 DROP icmp -- any any anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp-data
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:3742
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 15 packets, 1117 bytes)
pkts bytes target prot opt in out source destination
1927 265K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
3 140 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:domain
9 487 ACCEPT all -- any lo anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:3742Voila ce que ca donne avec iptables -L -v
Sachant que je viens de faire un script qui me configure iptables en ACCEPT tout. Et ca change rien.
Je crois que ya un leger soucis, c'est ou qu'il enregistre les regles la dedibox?
#12 2006-06-24 21:45:31
- eXorus
- Invité
Re: IPTABLES
Pour le moment mon but n'est pas de configurer un firewall mais juste d'arriver a me connecter sur le dedibox ac un certain port.
#13 2006-06-24 21:57:58
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
Bon, la loopback n'est pas filtré. Bien !
Ensuite, comme dit plus haut, quand tu fais ton nmap, tu as bien une application qui écoute sur le port cible ?
Hors ligne
#14 2006-06-24 22:03:00
- eXorus
- Invité
Re: IPTABLES
Code:
root@dedibox:~# nmap -sT -p 3742 127.0.0.1 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-06-25 06:06 CEST Interesting ports on localhost.localdomain (127.0.0.1): PORT STATE SERVICE 3742/tcp closed unknown Nmap finished: 1 IP address (1 host up) scanned in 0.120 seconds
Voila ne nmap et j'ai bien une appli ki ecoute le porte 3742
#15 2006-06-24 22:05:24
- eXorus
- Invité
Re: IPTABLES
le petit truc a savoir et peut etre utile bien que je ne sois pas sur. L'appli qui ecoute ce porte tourne sous windows a l'aide de vmware. Mais bon je pense que c tjs la ubuntu qui gere les regle de filtrage...:+
#16 2006-06-24 22:10:09
- Calimero
- Maitre Jeidi
- Lieu: 94 | 67
- Date d'inscription: 2006-05-05
- Messages: 2729
Re: IPTABLES
Le "petit truc", c'est cela oui... 
Bonnes recherches.
Hors ligne
#17 2006-06-24 22:46:15
- eXorus
- Invité
Re: IPTABLES
mouais enfin sans parler de vmware, et bien qd je fais un nmap ca me met tjs closed alors que g mis en regle kil etait ouvert