Règle iptable INPUT

msd67 · 28 juin 2023, 15:27

Bonjour, pas le courage de me replonger dans la doc j'avoue
Quelle règle pour me permettre de lire le flux envoyé par une application dans mon onglet de nav à l'adresse mettons 127.0.0.1:8456 ?
(sachant évidemment que je suis sur input:drop ...)

28 juin 2023, 17:08

Salut et bienvenue,

Peux-tu à minima nous faire voir à quoi ressemblent tes règles ?

Code : Tout sélectionner

# iptables -S
# iptables -L

Quelle version de Debian ? A jour ?
Sans le minimum d'info comment t'aider

msd67 · 29 juin 2023, 11:48

Bonjour et merci pour ta réponse
je pensais qu'il serait assez simple de m'apporter la règle sur un plateau, visiblement pas ... Je pourrais la trouver moi même mais en effet,
je crains aussi que ça ne soit plus complexe qu'il n'y paraît, c'est pourquoi je ne tente rien.
Justement mes règles sont un peu complexes (surtout dans le sens où je ne comprends pas tout, mais je les pense solides et suffisantes.)

Code : Tout sélectionner

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
WAN_input  all  --  anywhere             anywhere            
xt_portscan  all  --  anywhere             anywhere            
DROP       udp  --  anywhere             anywhere             multiport dports netbios-ns,netbios-dgm
DROP       tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
LOG        all  --  anywhere             anywhere             limit: avg 10/min burst 5 LOG level warning prefix "[INPUT]"

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere             limit: avg 10/min burst 5 LOG level warning prefix "[FORWARD] "

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
WAN_output  all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http flags:FIN,SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https flags:FIN,SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2201 flags:FIN,SYN,RST,ACK/SYN
LOG        all  --  anywhere             anywhere             limit: avg 10/min burst 5 LOG level warning prefix "[OUTPUT] "

Chain DNS (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain flags:FIN,SYN,RST,ACK/SYN

Chain DebianRepositories (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             deb-multimedia.org  
ACCEPT     all  --  anywhere             mirror-csail.debian.org 
ACCEPT     all  --  anywhere             klecker-misc.debian.org 
ACCEPT     all  --  anywhere             mirror-isc3.debian.org 
ACCEPT     all  --  anywhere             151.101.2.132       
ACCEPT     all  --  anywhere             151.101.66.132      
ACCEPT     all  --  anywhere             151.101.130.132     
ACCEPT     all  --  anywhere             151.101.194.132     
ACCEPT     all  --  anywhere             bbox.lan            
ACCEPT     all  --  anywhere             199.232.82.132      
ACCEPT     all  --  anywhere             199.232.178.132     
ACCEPT     all  --  anywhere             debian.proxad.net   

Chain NTP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp

Chain SSH (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN

Chain SSH_ratelimiter (1 references)
target     prot opt source               destination         
           tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: SET name: SSH side: source mask: 255.255.255.255
LOG        tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 3 TTL-Match name: SSH side: source mask: 255.255.255.255 limit: avg 10/min burst 5 LOG level warning prefix "[SSHRATE]"
TARPIT     tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 3 TTL-Match name: SSH side: source mask: 255.255.255.255 -j TARPIT --tarpit 

Chain WAN_input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            
SSH_ratelimiter  all  --  anywhere             anywhere            
SSH        all  --  anywhere             anywhere            

Chain WAN_output (1 references)
target     prot opt source               destination         
DebianRepositories  tcp  --  anywhere             anywhere             tcp dpt:http flags:FIN,SYN,RST,ACK/SYN
DNS        all  --  anywhere             anywhere            
NTP        all  --  anywhere             anywhere            

Chain xt_portscan (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  limit: avg 10/min burst 5 LOG level warning prefix "[PSD] "
CHAOS      all  --  anywhere             anywhere             -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -j CHAOS
LOG        tcp  --  anywhere             anywhere             -m lscan --synscan  limit: avg 10/min burst 5 LOG level warning prefix "[SYNSCAN] "
CHAOS      tcp  --  anywhere             anywhere             -m lscan --synscan  -j CHAOS
LOG        tcp  --  anywhere             anywhere             -m lscan --stealth  limit: avg 10/min burst 5 LOG level warning prefix "[STEALTH] "
CHAOS      tcp  --  anywhere             anywhere             -m lscan --stealth  -j CHAOS
LOG        tcp  --  anywhere             anywhere             -m lscan --cnscan  limit: avg 10/min burst 5 LOG level warning prefix "[CNSCAN] "
CHAOS      tcp  --  anywhere             anywhere             -m lscan --cnscan  -j CHAOS
LOG        tcp  --  anywhere             anywhere             -m lscan --grscan  limit: avg 10/min burst 5 LOG level warning prefix "[GRSCAN] "
CHAOS      tcp  --  anywhere             anywhere             -m lscan --grscan  -j CHAOS

msd67 · 29 juin 2023, 12:10

tiens .... le deuxième ACCEPT de la chaîne INPUT me choque tout à coup .... (?)

29 juin 2023, 14:06

Salut,

Il manque la moitié des commande que je t'ai demandé:

# iptables -S

Édition: Accessoirement: C'est un script qui applique tes règles au démarrage ?

msd67 · 29 juin 2023, 18:27

Re,
désolé, j'avais pensé que -L suffirait, j'ai eu l'impudence de penser que -S n'apporterait pas plus d'information (évidemment j'ai pas fait man iptables; circonstance atténuante ou accablante, ...

)
Pour ce qui est du script, tout est là, adapté à ma petite configuration réseau :
https://fcerbell.github.io/Debian113Ser ... Tables-fr/

Code : Tout sélectionner

[sudo] Mot de passe du tropflémard : 
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N DNS
-N DebianRepositories
-N NTP
-N SSH
-N SSH_ratelimiter
-N WAN_input
-N WAN_output
-N xt_portscan
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i enp3s0 -j WAN_input
-A INPUT -j xt_portscan
-A INPUT -p udp -m multiport --dports 137,138 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -m limit --limit 10/min -j LOG --log-prefix "[INPUT]"
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 10/min -j LOG --log-prefix "[FORWARD] "
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o enp3s0 -j WAN_output
-A OUTPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 2201 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -m limit --limit 10/min -j LOG --log-prefix "[OUTPUT] "
-A DNS -p udp -m udp --dport 53 -j ACCEPT
-A DNS -p tcp -m tcp --dport 53 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A DebianRepositories -d 91.121.146.196/32 -j ACCEPT
-A DebianRepositories -d 128.31.0.62/32 -j ACCEPT
-A DebianRepositories -d 130.89.148.77/32 -j ACCEPT
-A DebianRepositories -d 149.20.4.15/32 -j ACCEPT
-A DebianRepositories -d 151.101.2.132/32 -j ACCEPT
-A DebianRepositories -d 151.101.66.132/32 -j ACCEPT
-A DebianRepositories -d 151.101.130.132/32 -j ACCEPT
-A DebianRepositories -d 151.101.194.132/32 -j ACCEPT
-A DebianRepositories -d 192.168.1.254/32 -j ACCEPT
-A DebianRepositories -d 199.232.82.132/32 -j ACCEPT
-A DebianRepositories -d 199.232.178.132/32 -j ACCEPT
-A DebianRepositories -d 212.27.32.66/32 -j ACCEPT
-A NTP -p udp -m udp --dport 123 -j ACCEPT
-A SSH -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A SSH_ratelimiter -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --mask 255.255.255.255 --rsource 
-A SSH_ratelimiter -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH --mask 255.255.255.255 --rsource -m limit --limit 10/min -j LOG --log-prefix "[SSHRATE]"
-A SSH_ratelimiter -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH --mask 255.255.255.255 --rsource -j TARPIT --tarpit 
-A WAN_input -s 192.168.1.0/24 -j ACCEPT
-A WAN_input -j SSH_ratelimiter
-A WAN_input -j SSH
-A WAN_output -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j DebianRepositories
-A WAN_output -j DNS
-A WAN_output -j NTP
-A xt_portscan -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -m limit --limit 10/min -j LOG --log-prefix "[PSD] "
-A xt_portscan -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -j CHAOS
-A xt_portscan -p tcp -m lscan --synscan  -m limit --limit 10/min -j LOG --log-prefix "[SYNSCAN] "
-A xt_portscan -p tcp -m lscan --synscan  -j CHAOS
-A xt_portscan -p tcp -m lscan --stealth  -m limit --limit 10/min -j LOG --log-prefix "[STEALTH] "
-A xt_portscan -p tcp -m lscan --stealth  -j CHAOS
-A xt_portscan -p tcp -m lscan --cnscan  -m limit --limit 10/min -j LOG --log-prefix "[CNSCAN] "
-A xt_portscan -p tcp -m lscan --cnscan  -j CHAOS
-A xt_portscan -p tcp -m lscan --grscan  -m limit --limit 10/min -j LOG --log-prefix "[GRSCAN] "
-A xt_portscan -p tcp -m lscan --grscan  -j CHAOS

msd67 · 29 juin 2023, 23:50

bon y'en a qu'un qui suit ? il est où Mattotop, et toute la team ? pardon, je sors

30 juin 2023, 08:27

Salut,

msd67 a écrit : 29 juin 2023, 23:50 bon y'en a qu'un qui suit ?

Pas content d'être entre mes mains ?

msd67 a écrit : 29 juin 2023, 18:27 désolé, j'avais pensé que -L suffirait

C'est pas pour t'emmerder qu'on pose des questions qui peuvent te sembler inutiles.
Mais sans un minimum de contexte c'est plus compliqué.

Je t'ai par exemple demandé ta version de Debian. Ce n'est pas pour faire joli, c'est pour savoir avec quelle version d'Iptables on travaille...

Pour revenir à ton problème localhost ne semble pas bloqué...
Tu arrive à pinguer 127.0.0.1 bien sur ?

Je suppose que du coup il faut simplement autoriser le port 8456 depuis 127.0.0.1...
Si je ne me trompe pas:

Code : Tout sélectionner

iptables -I INPUT 1 -i lo -p tcp --dport 8456 -j ACCEPT

30 juin 2023, 10:19

msd67 a écrit : 29 juin 2023, 12:10 je pensais qu'il serait assez simple de m'apporter la règle sur un plateau, visiblement pas

En effet ça dépend du jeu de règles en place.

msd67 a écrit : 29 juin 2023, 12:10 Je pourrais la trouver moi même

Le contraire serait étonnant, voire inquiétant, si c'est toi qui a écrit le jeu de règles en place.

msd67 a écrit : 29 juin 2023, 12:10 le deuxième ACCEPT de la chaîne INPUT me choque tout à coup

C'est à cause de la sortie incomplète de iptables -L qui n'affiche pas les interfaces d'entrée ou de sortie.

lol a écrit : 29 juin 2023, 14:06 Il manque la moitié des commande que je t'ai demandé

C'est un peu ta faute, tu n'aurais pas dû demander la sortie de iptables -L qui est incomplète (sans -v), peu lisible (même avec -v) et n'apporte rien par rapport à iptables -S. Personnellement je préfère iptables-save qui affiche toutes les tables actives, et pas seulement filter.

lol a écrit : 30 juin 2023, 08:27 Pour revenir à ton problème localhost ne semble pas bloqué...

En effet des règles dans INPUT et OUTPUT autorisent tous les paquets entrant et sortant par l'interface de loopback lo, donc (en principe) ceux à destination de 127.0.0.0/8.

Code : Tout sélectionner

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

lol a écrit : 30 juin 2023, 08:27 Tu arrive à pinguer 127.0.0.1 bien sur ?

Ce n'est pas probant, il y a aussi des règles qui autorisent spécifiquement le protocole ICMP en INPUT et OUTPUT (ce qui est une erreur à mon avis mais c'est un autre sujet).

Code : Tout sélectionner

-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

msd67 · 03 juil. 2023, 21:19

Bonsoir et merci beaucoup lol et pascal,

Lol : j'ai pas vu que tu demandais ma version de debian (Buster) mais je connais assez la musique (tu n'es pas censé le savoir) pour avoir présumé
que ça n'était pas une info utile (basons nous toujours sur la stable par défaut, si tant est qu'il put y avoir des changements notables dans sid).

Pascal: merci toi je sais ^^ qu'en matière de réseau, et avec les compléments d'information que j'ai donné, tes paroles sont d'évangiles. Je m'étais un
peu déconnecté du sujet ces jours-ci, je relirai "demain" tes conclusions et je tenterai le routage dans la box, ça doit venir de là.

Merci à vous.

ps: non évidemment je n'ai pas pondu ces règles (je l'ai mentionné d'ailleurs "je comprends pas tout" -> j'ai copié, suivi un tuto, dixit). Peut-être vous
donnera t'il quelles idées ce petit tuto d'ailleurs, qui m'a séduit.

04 juil. 2023, 09:32

Salut l'habitué!

msd67 a écrit : 03 juil. 2023, 21:19 basons nous toujours sur la stable par défaut

Qui est Bookworm et non plus Buster...

Ce n'est donc jamais inutile d'avoir tous les éléments.

En passant:

https://wiki.debian.org/nftables a écrit :nftables is the default framework in use in Debian (since Debian 10 Buster)

Même si je suis encore très inconfortable avec nftables au point d'utiliser firewalld par dessus...

msd67 a écrit : 03 juil. 2023, 21:19 le routage dans la box, ça doit venir de là.

Quelle rapport entre la box et 127.0.0.1 ?

msd67 · 04 juil. 2023, 10:17

Salut l'habitué!

C'est loin quand même

Qui est Bookworm et non plus Buster...

Ben m..... alors

Mais c'est pire encore

Code : Tout sélectionner

$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 11 (bullseye)
Release:        11
Codename:       bullseye

j'avais oublié que ... C'est dire comme je m'investis , mais je reste Debian sinon rien

Quelle rapport entre la box et 127.0.0.1 ?

Comment dire .... Un flux internet que je capte sur localhost ?

un moment, je regarde

msd67 · 04 juil. 2023, 10:40

Bon, je vais prendre le problème sous un autre angle.

Imaginons que mes règles de routage box -> machine soient valables (enregistrées un soir de particulière acuité ...).
Soient les redirections de ports suivantes :
- 12005 -> 12005
- 13006 -> 13006
- 14008 -> 14008
- 15007 -> 15009 (soyons fun).

Questions:
Selon iptables -S (ou -L), ces ports sont fermés.
- Comment déjà ouvrir ces ports ?
- Surtout, il me semble que je dois insérer ces règles pas n'importe où (si je me souviens bien) ?
- Imaginons que mon appli s'occupe en interne de router ce qui arrive à l'adresse machine_ip_externe:14008 vers localhost:14008 (hypothèse), j'ai donc rien à faire puisque localhost est ouvert de toutes manières ?
- Autre question d'importance, pour la connectivité, il faut aussi que j'ouvre dans la chaîne OUTPUT ?? (vu que je vois qu'à part http(s) ou presque, tout est dropé) ....

04 juil. 2023, 10:41

Ha...

msd67 a écrit : 04 juil. 2023, 10:17
Quelle rapport entre la box et 127.0.0.1 ?
Comment dire .... Un flux internet que je capte sur localhost ?
un moment, je regarde

Donc j'avais rien compris à la question:

Quelle règle pour me permettre de lire le flux envoyé par une application dans mon onglet de nav à l'adresse mettons 127.0.0.1:8456

Je pensais que tu n'arrivais pas à ouvrir le port 8456 sur localhost...
Mais du coup le problème n''est pas là du tout !

Le problème est de rediriger un flux (que tu captes déjà ou pas ?) qui se trouve sur ta machine et que tu souhaites ouvrir dans ton navigateur (localhost port 8456).
Un peu plus de détails ? Quel type de flux ? Tu le reçois déjà sur ta machine ? De quelle façon ?
Bref, si tu détailles pas un peu plus l'objectif, c'est mort pour t'aider...

msd67 · 04 juil. 2023, 11:14

lol,
je t'ai envoyé un message en MP mais il semblerait qu'il reste bloqué (?) dans ma boîte d'envoi (et 0 message dans la section "Envoyé" ... pas normal).

04 juil. 2023, 12:08

msd67 a écrit : 04 juil. 2023, 10:40 Selon iptables -S (ou -L), ces ports sont fermés.
- Comment déjà ouvrir ces ports ?

iptables n'est pas compétent pour déterminer si un port est ouvert ou fermé. Il ne fait qu'accepter ou bloquer des paquets.

msd67 a écrit : 04 juil. 2023, 10:40 - Surtout, il me semble que je dois insérer ces règles pas n'importe où (si je me souviens bien) ?

La chaîne WAN_input me semble appropriée.

msd67 a écrit : 04 juil. 2023, 10:40 - Imaginons que mon appli s'occupe en interne de router ce qui arrive à l'adresse machine_ip_externe:14008 vers localhost:14008 (hypothèse)

Ce serait donc une sorte de relais de port, comme ssh avec l'option -L ou -R ?

msd67 a écrit : 04 juil. 2023, 10:40 j'ai donc rien à faire puisque localhost est ouvert de toutes manières ?

La connexion avec localhost est déjà autorisée, mais il faudra autoriser les paquets de la connexion originelle.

msd67 a écrit : 04 juil. 2023, 10:40 il faut aussi que j'ouvre dans la chaîne OUTPUT ?

Seulement pour les connexions sortantes vers l'extérieur, et plutôt dans la chaîne WAN_output.

04 juil. 2023, 13:07

Hello @msd67

msd67 a écrit : 04 juil. 2023, 11:14 lol,
je t'ai envoyé un message en MP mais il semblerait qu'il reste bloqué (?) dans ma boîte d'envoi (et 0 message dans la section "Envoyé" ... pas normal).

Si c'est normal. Le MP reste dans ta boite jusqu’à ce que je me connecte.
Ce qui permet d'être certain qu'il est délivré.

Je regarde ton MP

04 juil. 2023, 13:14

Hello,
A priori de ce que je vois, les flux sont déjà autorisés en entrée dans la BOX et transférés (NAT ?) vers ton PC.
Il devrait "suffire" maintenant d'autoriser les ports en entrée sur ta machine.

msd67 · 04 juil. 2023, 17:25

Bon okay, mais faut que je comprenne ce que disais Pascal "chaîne WAN_input/output appropriées" ...

Merci

04 juil. 2023, 18:20

Salut,
Je regarderais demain si tu n'as pas avancé (pas le temps ce soir).
Il suffit d'autoriser (INPUT) les 4 ou 5 ports (tcp ?) Dont tu as besoin.
A priori rien à faire sur les règles OUTPUT.

Règle iptable INPUT Le sujet est résolu