Re: sos shorewall/iptables [RESOLU]

Pàgina inicial

Reply to this message
Autor: Olivier Allard-Jacquin
Data:  
A: guilde
Assumpte: Re: sos shorewall/iptables [RESOLU]
    Bonjour Jean-Marc,

Jean-Marc Coursimault a écrit :
>> Je me suis mis à la porte d'une machine à 600 km d'ici en faisant
>> une erreur dans un fichier de conf de shorewall (je sais, il y a
>> une option check...).
>
>> Je cherche la commande la plus simple qui permettra d'ouvrir
>> l'ensemble des ports.
>
> Je me réponds à moi-même (et grâce à l'excellent tutorial d'Olivier
> Allard-Jacquin
> http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-06.html :
>
> #!/bin/bash
> iptables -F
> iptables -X
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>
> (mieux vaut mettre cela dans un script, car à distance, les 2
> premières lignes risquent d'avoir pour effet de se re-mettre dehors)


    En fonction de la version du kernel, il me semble en effet que la
commande "iptables -F" n'ait pas toujours le même résultat. Et que cela
puisse influencer le comportement des règles par défaut ("iptables -P
xxxx").


    L'idée du script est bonne, mais lorsque tu manipules à distance le FW
d'une machine, tu peux l'améliorer avec une technique que l'on retrouve
souvent sur le net : Mettre ce script qui "tombe le firewall" dans un
cron, et l'exécuter disons toutes les 10 minutes.


    Ainsi, si les règles que tu as mis en place bloquent toutes les
connexions, au pire 10 minutes plus tard les règles seront redevenues
passantes.


    Si le script ci-dessus s'appelle "/usr/sbin/netfilter_shutdown.sh",
voici ce qu'il faut rajouter dans le /etc/cronttab :


[root@ /]# cat /etc/crontab
*/10 * * * * root /usr/sbin/netfilter_shutdown.sh

Le "*/10" veut dire "toutes les 10 minutes.

    Evidemment, ceci n'est à utiliser que lors des phases de test/debug de
la configuration de netfilter/iptables. Une fois que tout les réglages
sont finis, il faut de supprimer/commenter cette ligne !


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!