joffrey575
Posts: 34
Joined: Mon Feb 08, 2016 12:02 pm

Apprentissage iptables

Fri Jan 12, 2018 8:32 am

Bonjour à tous,

J'aimerais approfondir mes connaissance en iptables, j'utilise uptables-persistent.

Dernièrement j'ai voulu imprimer depuis mon téléphone avec client cups, serveur cups sur rasp sur lequel j'ai ajouté l'imprimante qui a bien été détecté. (J'ai du désactiver mes règles iptables).

L'ouverture du port 631 n'avait pas suffi pour :
1-serveur cups : détecter/associer via l'interface web l'imprimante sur le réseau local 192.168.1.X
2-détecter avec le mobile (client cups) une imprimante associé au serveur cups

Voici mon /etc/iptables/rules.v4

Code: Select all

# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*raw
:PREROUTING ACCEPT [1414:139193]
:OUTPUT ACCEPT [964:185537]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*mangle
:PREROUTING ACCEPT [1414:139193]
:INPUT ACCEPT [1401:125545]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [964:185537]
:POSTROUTING ACCEPT [967:185633]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*nat
:PREROUTING ACCEPT [15:13748]
:INPUT ACCEPT [2:100]
:OUTPUT ACCEPT [12:771]
:POSTROUTING ACCEPT [12:771]
COMMIT
# Completed on Sun Dec 31 15:22:56 2017
# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]

###########################################
################   INPUT   ################   
###########################################

#Allow trafic on internal network
-A INPUT -i lo -j ACCEPT

#Allow ping to internal network
-A INPUT -i eth0 -p icmp -j ACCEPT

#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH and SFTP
-A INPUT -p tcp -m tcp --dport ssh -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT

#XMPP
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#Allow cups
-A INPUT -i eth0 -p UDP --dport 631 -j ACCEPT                         

###########################################
###############   OUTPUT   ################   
###########################################

#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -o eth0 -p icmp -j ACCEPT

COMMIT
----------------------------------------

Après j'ai du mal avec ces 3 lignes de code :

Code: Select all

:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]
Egalement, a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu'ils sont autorisés avec cette ligne :

Code: Select all

#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Autrement, je pensais autoriser les transferts de paquets entre les périphériques de mon réseau local, la c'est sans risque!
Enfin, sans intrusion bien sur (je n'ai pas trouvé d'autres solutions pour faire en sorte de faire marcher le service d'impression cups).

Je pensais à la ligne suivante :

Code: Select all

-A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
Si vous avez un support d'apprentissage pour iptables, je suis preneur.

Merci par avance.

User avatar
icare
Posts: 109
Joined: Mon Mar 14, 2016 6:31 pm
Location: Saint-Avold - France

Re: Apprentissage iptables

Fri Jan 12, 2018 8:41 am

Bonjour,
J'avais trouvé un tuto qui m'avait beaucoup aidé :
https://www.inetdoc.net/pdf/iptables-tutorial.pdf
2B or !2B = FF

Return to “Français”

Who is online

Users browsing this forum: No registered users and 4 guests