[Debian 6.0.5] Iptables bloque tout en sortie (Résolu)

Vogalen · Message par **Vogalen** » 18 sept. 2012 01:33

Salut,

Alors je suis en pleine cofiguration du pare-feu sur un serveur Debian x64, mais j'ai des problèmes de configuration (de compréhension peut-être!? :O).

Quelques info pour commencer :

Code : Tout sélectionner

# cat /etc/debian_version
6.0.5

Code : Tout sélectionner

# uname -a
Linux user 2.6.32-5-amd64 #1 SMP Sun May 6 04:00:17 UTC 2012 x86_64 GNU/Linux

Code : Tout sélectionner

# iptables -V
iptables v1.4.8

Code : Tout sélectionner

# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
  107 10475 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:22
   26  1971 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   97 12516 ACCEPT     all  --  any    any     anywhere             anywhere

Code : Tout sélectionner

# cat /etc/iptables.restore
*filter

-F
-X
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT

COMMIT

Je fais donc cette commande pour "initialiser" la config : # iptables-restore < /etc/iptables.restore

Mon intérrogation en fais, c'est que rien ne sort du serveur...
Pour ce qui est de l'entrée, aucun problème, les ports supposer être fermés, sont bien fermés et le port ssh est bien ouvert. Par contre, rien ne "sort" sur serveur O_o.

Avec le pare-feu actif :

Code : Tout sélectionner

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13104ms

Sans le pare-feu :

Code : Tout sélectionner

# iptables -F
# iptables -X
# iptables -P INPUT ACCEPT              <== Simplement pour pouvoir rétablir ma connexion ssh...
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=52 time=180 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=52 time=175 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=52 time=176 ms
64 bytes from 8.8.8.8: icmp_req=4 ttl=52 time=74.1 ms
64 bytes from 8.8.8.8: icmp_req=5 ttl=52 time=174 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4003ms
rtt min/avg/max/mdev = 74.130/156.400/180.903/41.197 ms

Pourtant la "policy" par defaut est "ACCEPT" et la seule règle est "ACCEPT all any any anywhere anywhere" ??!!
Je suis vraiment perdu là... :/

Une idée ?

Merci.

Vogalen · Message par **Vogalen** » 18 sept. 2012 01:45

AH la la! Quel n00b! Désolé...

C'est super simple en fais.

Il faut rajouter cette ligne! Sinon le serveur peut envoyer des pings, mais ne recoit pas les réponses...
-A INPUT -p icmp --icmp-type 0 -j ACCEPT

Maintenant ça marche!

La différence :

Sans la ligne :
14 packets transmitted, 0 received

Code : Tout sélectionner

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13104ms

Avec la ligne :
3 packets transmitted, 3 received

Code : Tout sélectionner

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=52 time=56.7 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=52 time=53.9 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=52 time=54.3 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 53.934/55.028/56.778/1.264 ms

Message par **Lætitia** » 18 sept. 2012 21:04

salut Vogalen,
merci pour le retour.

Vogalen · Message par **Vogalen** » 18 sept. 2012 23:50

Salut,

Pas de problème! Un tropic n'est pas vraiment résolu si la réponse n'est pas présente!

compte-supprime666 · Message par **compte-supprime666** » 26 févr. 2013 20:59

"Il faut rajouter cette ligne! Sinon le serveur peut envoyer des pings, mais ne recoit pas les réponses...
-A INPUT -p icmp --icmp-type 0 -j ACCEPT"

Pas certain , faudrait pinguer en réseau local pour vérifier, 56m/s c'est pas en local, c'est une réponse au ping qu'on a envoyé soi même.

Vogalen · Message par **Vogalen** » 31 mars 2013 10:00

Non. Fais le test et tu verra que... j'ai raison...

Malekal's forum

Malekal's forum