nono92 Posté(e) le 5 août 2009 Partager Posté(e) le 5 août 2009 Bonjour, Je viens chercher un peu d'aide car je n'arrive pas a configurer iptables correctement pour que il accepte les connexion de la freebox hd a mediatomb. D'aprés le site officiel de mediatomb les ports a ouvrir sont 49152 en tcp et upd et 1900 en udp ce qui a été fait néanmoins le serveur est invisible a partir de la freebox, si je désactive iptables tout marche parfaitement. Voici donc mes régles iptables en espérant que qqun pourra m'aider :) #!/bin/bash echo Setting firewall rules... # # config de base # # Vider les tables actuelles iptables -t filter -F iptables -t filter -X echo - Vidage : [OK] # Autoriser SSH iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT echo - Autoriser SSH : [OK] # Ne pas casser les connexions etablies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT echo - Ne pas casser les connexions établies : [OK] # Interdire toute connexion entrante iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP echo - Interdire toute connexion entrante : [OK] # Interdire toute connexion sortante iptables -t filter -P OUTPUT DROP echo - Interdire toute connexion sortante : [OK] # Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour) iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK] # Autoriser loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT echo - Autoriser loopback : [OK] # Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT echo - Autoriser ping : [OK] # Gestion des connexions entrantes autorisées # # iptables -t filter -A INPUT -p <tcp|udp> --dport <port> -j ACCEPT # HTTP iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT echo - Autoriser serveur Apache : [OK] # Autoriser Teamspeak iptables -t filter -A INPUT -p udp --dport 8767:8790 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT # FTP modprobe ip_conntrack_ftp iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo - Autoriser serveur FTP : [OK] # Spoofing iptables -N SPOOFED iptables -A SPOOFED -s 127.0.0.0/8 -j DROP iptables -A SPOOFED -s 169.254.0.0/12 -j DROP iptables -A SPOOFED -s 172.16.0.0/12 -j DROP iptables -A SPOOFED -s 192.168.0.0/16 -j DROP iptables -A SPOOFED -s 10.0.0.0/8 -j DROP echo - Bloquer le Spoofing : [OK] # Syn-Flood iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT echo - Limiter le Syn-Flood : [OK] #Samba iptables -A INPUT -p udp --dport 137 -j ACCEPT iptables -A INPUT -p udp --dport 138 -j ACCEPT iptables -A INPUT -p tcp --dport 139 -j ACCEPT iptables -A INPUT -p tcp --dport 445 -j ACCEPT iptables -A INPUT -p udp --dport 445 -j ACCEPT iptables -A OUTPUT -p udp --sport 137 -j ACCEPT iptables -A OUTPUT -p udp --sport 138 -j ACCEPT iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT iptables -A OUTPUT -p udp --sport 445 -j ACCEPT echo - Autoriser Samba : [OK] # Mediatomb iptables -A INPUT -p tcp --dport 49152 -j ACCEPT iptables -A INPUT -p udp --dport 49152 -j ACCEPT iptables -A INPUT -p udp --dport 1900 -j ACCEPT iptables -A OUTPUT -p tcp --dport 49152 -j ACCEPT iptables -A OUTPUT -p udp --dport 49152 -j ACCEPT iptables -A OUTPUT -p udp --dport 1900 -j ACCEPT echo - Autoriser Mediatomb : [OK] echo Firewall mis a jour avec succes ! Merci d'avance. Ps : Si un expert d'iptables passe par la et vois des erreurs dans le reste des règles si il peu m'aider a les corriger sa serais sympa Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 5 août 2009 Partager Posté(e) le 5 août 2009 L'idéal serait de faire un telnet dans le lan et si possible depuis l'extérieur pour tester tes ports. Tu n'as pas de port forwarding au niveau de ta freebox ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
nono92 Posté(e) le 5 août 2009 Auteur Partager Posté(e) le 5 août 2009 J'ai pas de forwarding sur les ports de mediatomb non, mais le problémes vient surement d'un port non ouvert sur iptables vu qu'en le désactivant sa marche. J'ai penser aussi regarder les logs de iptables pour voir si il bloque qqchose mais je n'ai pas de logs pour iptables dans /var/log Ps : Je précise que le serveur est chez moi donc dans mon réseau local Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 6 août 2009 Partager Posté(e) le 6 août 2009 Et les telnets donnent quoi ? Et iptables -L ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
nono92 Posté(e) le 6 août 2009 Auteur Partager Posté(e) le 6 août 2009 Yop, voila le résultat de iptables -L : Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:8443 ACCEPT udp -- anywhere anywhere udp dpts:8767:8790 ACCEPT tcp -- anywhere anywhere tcp dpt:14534 ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:49152 ACCEPT udp -- anywhere anywhere udp dpt:49152 ACCEPT udp -- anywhere anywhere udp dpt:1900 ACCEPT tcp -- anywhere anywhere tcp dpt:daap ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns Chain FORWARD (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT udp -- anywhere anywhere limit: avg 1/sec burst 5 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:ntp ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT udp -- anywhere anywhere udp spt:netbios-ns ACCEPT udp -- anywhere anywhere udp spt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp spt:microsoft-ds ACCEPT udp -- anywhere anywhere udp spt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:49152 ACCEPT udp -- anywhere anywhere udp dpt:49152 ACCEPT udp -- anywhere anywhere udp dpt:1900 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns Chain SPOOFED (0 references) target prot opt source destination DROP all -- loopback/8 anywhere DROP all -- 169.240.0.0/12 anywhere DROP all -- 172.16.0.0/12 anywhere DROP all -- 192.168.0.0/16 anywhere DROP all -- 10.0.0.0/8 anywhere Pour le telnet je sais pas vraiment comment faire :s Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 6 août 2009 Partager Posté(e) le 6 août 2009 telnet tamachine 49152 Lien vers le commentaire Partager sur d’autres sites More sharing options...
nono92 Posté(e) le 7 août 2009 Auteur Partager Posté(e) le 7 août 2009 Il se apsse rien lors du telnet sur ce port :x Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 7 août 2009 Partager Posté(e) le 7 août 2009 Il se apsse rien lors du telnet sur ce port :x Tente de loguer ce que tu drop avec ulogd. Tu verras peut être ce qui cloche. Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 7 août 2009 Partager Posté(e) le 7 août 2009 Est ce que telnet timeout ou il affiche quelque chose ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
nono92 Posté(e) le 7 août 2009 Auteur Partager Posté(e) le 7 août 2009 Voila j'avais simplement pas attendu assez longtemps lors du telenet j'ai bien : HTTP/0.0 400 Bad Request SERVER: Linux/2.6.26-1-686, UPnP/1.0, MediaTomb/0.11.0 CONTENT-LENGTH: 50 CONTENT-TYPE: text/html; charset=UTF-8 <html><body><h1>400 Bad Request</h1></body></html> Perte de la connexion à l'hôte. (Je suis sous windows seul mon serveur est sous Debian) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.