ZionRider78 Posté(e) le 20 septembre 2010 Partager Posté(e) le 20 septembre 2010 Bonjour, Je me lance dans iptables mais la.... Qu'est ce qui cloche? Code: deluxx:/home/mael/Desktop# iptables-restore < /etc/iptables.deluxx.rules Bad argument `iptables' Error occurred at line: 4 Try `iptables-restore -h' or 'iptables-restore --help' for more information. le fichier de régle concerné, d'ailleur si je modifie cette ligne 4 il me met toujour exactement le même message d'erreur!? Code: *filter ######################### # Politiques par défaut # ######################### # On DROP tout en entrée/sortie/forward -P INPUT DROP -P FORWARD DROP -P OUTPUT DROP ###################### # Règles de filtrage # ###################### # On autorise la boucle locale -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # On autorise PING -A OUTPUT -m state --state NEW,ESTABLISHED -p ICMP -s 192.168.0.10 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p ICMP -d 192.168.0.10 -j ACCEPT # On autorise les DNS primaire et secondaire -A OUTPUT -m state --state NEW,ESTABLISHED -p UDP -s 192.168.0.10 -d 212.27.40.240 --sport 1024: --dport 53 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p UDP -s 212.27.40.240 -d 192.168.0.10 --sport 53 --dport 1024: -j ACCEPT -A OUTPUT -m state --state NEW,ESTABLISHED -p UDP -s 192.168.0.10 -d 212.27.40.241 --sport 1024: --dport 53 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p UDP -s 212.27.40.241 -d 192.168.0.10 --sport 53 --dport 1024: -j ACCEPT # Accepter http et https -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 80 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 80 --dport 1024: -j ACCEPT -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 443 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 443 --dport 1024: -j ACCEPT # Accepter FTP en actif et passif, nécéssite le module ip_conntrack_ftp # charger le module modprobe ip_conntrack_ftp # le rajouter au boot echo ip_conntrack_ftp >> /etc/modules # le FTP écoute su un autre port? echo options ip_conntrack_ftp ports=44,45 >> /etc/modprob.d/arch/i386 -A OUTPUT -m state --state ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 20 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -d 192.168.0.10 --sport 20 --dport 1024: -j ACCEPT -A OUTPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 1024: --dport 1024: -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 1024: -j ACCEPT Soyez indulgent c'est mon premier script iptables Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 20 septembre 2010 Partager Posté(e) le 20 septembre 2010 Je ne suis pas expert en iptables et ne connait pas la commande restore, par contre je fais lancer les règles à chaque démarrage pour être sûr Ainsi, ça utilise iptables directement ; et d'ailleurs pour faire ça votre script n'aurait besoin que de peu de modifications. Quelqu'un aurait sûrement mieux ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Je ne suis pas expert en iptables et ne connait pas la commande restore, par contre je fais lancer les règles à chaque démarrage pour être sûr Ainsi, ça utilise iptables directement ; et d'ailleurs pour faire ça votre script n'aurait besoin que de peu de modifications. Quelqu'un aurait sûrement mieux ? iptable-restore me permet de charger les régles du fichier immédiatement sans reboot et si ça convient pas "iptables -F iptables X" et on recommence, ensuite si ces régles me conviennent effectivement je les chargerai au démarrage. Seulement là même pas eu le temps de tester mes régles y charge pas le fichier à cause de cette erreur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Weierstrass01 Posté(e) le 20 septembre 2010 Partager Posté(e) le 20 septembre 2010 Salut ! J'ai fait le test avec un petit iptables-save > iptables-save.test et voici un extrait de ce que j'obtiens : # Generated by iptables-save v1.4.8 on Mon Sep 20 10:37:35 2010 *nat :PREROUTING ACCEPT [1193:187349] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [5157:321283] -A POSTROUTING -j MASQUERADE COMMIT # Completed on Mon Sep 20 10:37:35 2010 # Generated by iptables-save v1.4.8 on Mon Sep 20 10:37:35 2010 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT ... (encore plein de règles et le COMMIT final) Bref... tout ça pour te montrer que visiblement tu as un problème de formatage de tes règles, en tout cas au sens de l'outil iptables-restore. Je rejoins Amour pour te recommander de faire toi-même un petit script maison exécuté au démarrage. Par contre si tu veux absolument utiliser iptables-restore, peut-être serait-il moins fastidieux de les entrer une à une en ligne de commande et de faire un extract au bon format via un iptables-save. Cordialement, Weierstrass01 Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Salut ! J'ai fait le test avec un petit iptables-save > iptables-save.test et voici un extrait de ce que j'obtiens : # Generated by iptables-save v1.4.8 on Mon Sep 20 10:37:35 2010 *nat :PREROUTING ACCEPT [1193:187349] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [5157:321283] -A POSTROUTING -j MASQUERADE COMMIT # Completed on Mon Sep 20 10:37:35 2010 # Generated by iptables-save v1.4.8 on Mon Sep 20 10:37:35 2010 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT ... (encore plein de règles et le COMMIT final) Bref... tout ça pour te montrer que visiblement tu as un problème de formatage de tes règles, en tout cas au sens de l'outil iptables-restore. Je rejoins Amour pour te recommander de faire toi-même un petit script maison exécuté au démarrage. Par contre si tu veux absolument utiliser iptables-restore, peut-être serait-il moins fastidieux de les entrer une à une en ligne de commande et de faire un extract au bon format via un iptables-save. Cordialement, Weierstrass01 Effectivement je vais suivre ton conseil et rentrer les commandes une par une, ce qui me blaze c'est que je l'ai déja fait pour tester chacune des régles mais pas de iptables-save!! c'est long mais enfin bon c'est le métier qui rentre!! Merci en tt cas!!! Sinon le régles en elle même??? Je sait que c'est trés spécifique à ce poste mais je voulais quelque chose de trés rigide... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Voila! Les régles ci-dessous marchent (il manquait le ":" devant les politiques par défaut) *filter ######################### # Politiques par défaut # ######################### # On DROP tout en entrée/sortie/forward :INPUT DROP :FORWARD DROP :OUTPUT DROP ###################### # Règles de filtrage # ###################### # On autorise la boucle locale -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # On autorise PING -A OUTPUT -m state --state NEW,ESTABLISHED -p ICMP -s 192.168.0.10 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p ICMP -d 192.168.0.10 -j ACCEPT # On autorise les DNS primaire et secondaire -A OUTPUT -m state --state NEW,ESTABLISHED -p UDP -s 192.168.0.10 -d 212.27.40.240 --sport 1024: --dport 53 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p UDP -s 212.27.40.240 -d 192.168.0.10 --sport 53 --dport 1024: -j ACCEPT -A OUTPUT -m state --state NEW,ESTABLISHED -p UDP -s 192.168.0.10 -d 212.27.40.241 --sport 1024: --dport 53 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p UDP -s 212.27.40.241 -d 192.168.0.10 --sport 53 --dport 1024: -j ACCEPT # Accepter http et https -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 80 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 80 --dport 1024: -j ACCEPT -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 443 -j ACCEPT -A INPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 443 --dport 1024: -j ACCEPT # Accepter FTP en actif et passif, nécéssite le module ip_conntrack_ftp # charger le module modprobe ip_conntrack_ftp # le rajouter au boot echo ip_conntrack_ftp >> /etc/modules # le FTP écoute su un autre port? echo options ip_conntrack_ftp ports=44,45 >> /etc/modprob.d/arch/i386 -A OUTPUT -m state --state ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 20 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -d 192.168.0.10 --sport 20 --dport 1024: -j ACCEPT -A OUTPUT -m state --state ESTABLISHED -p TCP -d 192.168.0.10 --sport 1024: --dport 1024: -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -p TCP -s 192.168.0.10 --sport 1024: --dport 1024: -j ACCEPT COMMIT Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Une derniére question, Je viens de faire iptables-save > iptables.deluxx.rules.save J'obtiens donc le même fichier que précedemment mais reformaté, la seule chose différente sont les chiffres entre []. Quelqu'un sait à quoi ça correspond? # Generated by iptables-save v1.4.2 on Mon Sep 20 11:35:34 2010 *filter :INPUT DROP [4049:183213] :FORWARD DROP [0:0] :OUTPUT DROP [22:2039] -A INPUT -i lo -j ACCEPT -A INPUT -d 192.168.0.10/32 -p icmp -m state --state ESTABLISHED -j ACCEPT ... COMMIT Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 20 septembre 2010 Partager Posté(e) le 20 septembre 2010 Je ne suis pas expert en iptables et ne connait pas la commande restore, par contre je fais lancer les règles à chaque démarrage pour être sûr Ainsi, ça utilise iptables directement ; et d'ailleurs pour faire ça votre script n'aurait besoin que de peu de modifications. Quelqu'un aurait sûrement mieux ? iptable-restore me permet de charger les régles du fichier immédiatement sans reboot et si ça convient pas "iptables -F iptables X" et on recommence, ensuite si ces régles me conviennent effectivement je les chargerai au démarrage. Seulement là même pas eu le temps de tester mes régles y charge pas le fichier à cause de cette erreur. Même si ma méthode est manuelle (script bash), elle permet aussi d'appliquer les règles sans redémarrage Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Pour charger au démarrage du réseau j'ai simplement fait: Dans /etc/network/if-pre-up.d un script appelé iptables #!/bin/bash /sbin/iptables-restore < /etc/iptables.deluxx.rules sans oublier chmod 755 iptables Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 20 septembre 2010 Partager Posté(e) le 20 septembre 2010 Je vois que tu es sous Lenny. tu as essayé SHorewall en frontend à IPtables ??? ça change la vie ( en mieux ) http://wiki.debian.org/HowTo/shorewall Si tu commence à avoir plusieurs interfaces, plusieurs réseau, des règles bizarres, une dmz .... http://dark26.hd.free.fr/index.php?option=com_content&view=article&id=52:xen-parefeu&catid=35:categorie-linux&Itemid=55 Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZionRider78 Posté(e) le 20 septembre 2010 Auteur Partager Posté(e) le 20 septembre 2010 Je vois que tu es sous Lenny. tu as essayé SHorewall en frontend à IPtables ??? ça change la vie ( en mieux ) http://wiki.debian.org/HowTo/shorewall Si tu commence à avoir plusieurs interfaces, plusieurs réseau, des règles bizarres, une dmz .... http://dark26.hd.free.fr/index.php?option=com_content&view=article&id=52:xen-parefeu&catid=35:categorie-linux&Itemid=55 En fait j'utilise habituellement shorewall, mais pour bien comprendre le réseau à mon avis une config iptables "à la dure" apporte beaaucoup. Aprés c'est sur Shorewall c'est nikel et rapide à mettre en place. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.