#1 Le 16/01/2014, à 22:17
- Musyanon
[Résolu] Problème de port UFW et IPTABLES
Bonsoir à tous et à toutes,
Voilà je rencontre un petit souci, j'essaie de bloquer le port 29910 en udp sur mon serveur. J'utilise ufw afin d'autorisé les quelques ports que j'utilise. Je pensais que du moment que ufw était actif cela bloquer tout port, mais apparement je me suis trompé ?
J'ai donc lancer un :
ufw deny 29910/udpMais le port à toujours l'air d’être ouvert.
J'ai donc coupé ufw pour réaliser un teste, et bloquer le port via IPTABLES avec :
/sbin/iptables -A OUTPUT -p udp --dport 29910 -j DROPEt la ça fonctionne ! Le port est bien bloqué. Mais lorsque je réactive ufw, le port communique à nouveau... Pourtant je ne l'ai pas retiré de iptables...
Ai je raté quelque chose ?
Merci de m'aider 
Dernière modification par Musyanon (Le 23/01/2014, à 13:46)
Hors ligne
#2 Le 16/01/2014, à 23:14
- pires57
Re : [Résolu] Problème de port UFW et IPTABLES
ufw deny proto udp to any port 29910essaye cela
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#3 Le 16/01/2014, à 23:55
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
salut,
le filtrage de ufw se fait sur les paquets entrants, pas sur les paquets sortants.
pourquoi vouloir bloquer un paquet sortant ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 17/01/2014, à 03:07
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
ufw deny proto udp to any port 29910essaye cela
Marche pas non plus 
salut,
le filtrage de ufw se fait sur les paquets entrants, pas sur les paquets sortants.
pourquoi vouloir bloquer un paquet sortant ?
Ah c'est donc pour cela que ça ne fonctionne pas ! N'y a t il aucun moyen pour le bloquer en sortant ?
Hors ligne
#5 Le 17/01/2014, à 07:42
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
N'y a t il aucun moyen pour le bloquer en sortant ?
il faut ajouter "out" à ta commande :
ufw deny out 29910/udpMais, je le répète : pourquoi vouloir bloquer un paquet sortant ? Un blocage sortant c'est rarement nécessaire. Tu est censé maîtriser ce qui tourne sur ton ordinateur : si une connexion ne te plaît pas, plutôt que de la bloquer tu devrais pouvoir arrêter le processus qui essaie de la faire...
En l'occurrence, pourquoi veux-tu bloquer les connexions sortantes vers ce port ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 17/01/2014, à 09:10
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
N'y a t il aucun moyen pour le bloquer en sortant ?
il faut ajouter "out" à ta commande :
ufw deny out 29910/udpMais, je le répète : pourquoi vouloir bloquer un paquet sortant ? Un blocage sortant c'est rarement nécessaire. Tu est censé maîtriser ce qui tourne sur ton ordinateur : si une connexion ne te plaît pas, plutôt que de la bloquer tu devrais pouvoir arrêter le processus qui essaie de la faire...
En l'occurrence, pourquoi veux-tu bloquer les connexions sortantes vers ce port ?
Oui certes, c'est sur que coupé le service serait plus judicieux dans ce cas, mais j'utilise ce service et le port est utilisé pour envoyé des informations que je ne souhaite pas.
Avec ta commande cela ne fonctionne toujours pas, le port 29910 communique toujours... Je ne comprends pas pourquoi cela fonctionne en passant par IPtables, en désactivant UFW, mais pas avec UFW d'activé...
Encore merci pour l'aide que vous m'apportez !
Hors ligne
#7 Le 17/01/2014, à 09:40
- pires57
Re : [Résolu] Problème de port UFW et IPTABLES
Donnes nous le contenu de tes règles
sudo ufw status verboseDernière modification par pires57 (Le 17/01/2014, à 09:43)
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#8 Le 17/01/2014, à 11:20
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Donnes nous le contenu de tes règles
sudo ufw status verbose
9987/udp ALLOW IN Anywhere
9990/udp ALLOW IN Anywhere
9999/udp ALLOW IN Anywhere
10011/tcp ALLOW IN Anywhere
30033/tcp ALLOW IN Anywhere
3400/udp ALLOW IN Anywhere
2302 ALLOW IN Anywhere
Anywhere ALLOW IN x.xx.xxx.xxx (Mon IP)
80 ALLOW IN Anywhere
9987/udp ALLOW IN Anywhere (v6)
9990/udp ALLOW IN Anywhere (v6)
9999/udp ALLOW IN Anywhere (v6)
10011/tcp ALLOW IN Anywhere (v6)
30033/tcp ALLOW IN Anywhere (v6)
3400/udp ALLOW IN Anywhere (v6)
2302 ALLOW IN Anywhere (v6)
80 ALLOW IN Anywhere (v6)
29910/udp DENY OUT Anywhere
29910/udp DENY OUT Anywhere (v6)Dernière modification par Musyanon (Le 17/01/2014, à 11:21)
Hors ligne
#9 Le 17/01/2014, à 13:32
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
Sans rapport avec ton problème de paquet sortant, je vois cette ligne :
Anywhere ALLOW IN x.xx.xxx.xxx (Mon IP)
Donc tu autorises tous les paquets entrants vers ton PC.
Donc toutes les règles "ALLOW IN" sont probablement inutiles car incluses dans celle-ci, et puis le pare-feu est inutile vu que tu as tout ouvert...
Supposition un peu aléatoire :
peut-être que la syntaxe que je t'ai donnée correspond à bloquer les paquets "provenant du port 29910", tu peux tenter la commande suivante ?
ufw deny out proto udp to any port 29910Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#10 Le 17/01/2014, à 16:53
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Sans rapport avec ton problème de paquet sortant, je vois cette ligne :
Anywhere ALLOW IN x.xx.xxx.xxx (Mon IP)
Donc tu autorises tous les paquets entrants vers ton PC.
Donc toutes les règles "ALLOW IN" sont probablement inutiles car incluses dans celle-ci, et puis le pare-feu est inutile vu que tu as tout ouvert...Supposition un peu aléatoire :
peut-être que la syntaxe que je t'ai donnée correspond à bloquer les paquets "provenant du port 29910", tu peux tenter la commande suivante ?ufw deny out proto udp to any port 29910
Avec cette commande, toujours pareil, le 29910 passe toujours.
Concernant l'autorisation des ports sur mon IP, cela ne sert pas à rien puisque je n'autorise aucun port ayant accès à mon serveur depuis n'importe qu'elle endroit sauf via mon IP.
Thx
Hors ligne
#11 Le 20/01/2014, à 22:17
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
Avec cette commande, toujours pareil, le 29910 passe toujours.
Peux-tu nous redonner le retour de sudo ufw status verbose ?
... mais cette fois-ci le retour complet, y compris les lignes du début...
Concernant l'autorisation des ports sur mon IP, cela ne sert pas à rien puisque je n'autorise aucun port ayant accès à mon serveur depuis n'importe qu'elle endroit sauf via mon IP.
L'a po compris...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#12 Le 21/01/2014, à 13:31
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Avec cette commande, toujours pareil, le 29910 passe toujours.
Peux-tu nous redonner le retour de sudo ufw status verbose ?
... mais cette fois-ci le retour complet, y compris les lignes du début...
Bien il y a tout déjà, je ne sais pas ce que tu veux de plus ..?
root@ubuntu:~# ufw verbose
Status: active
To Action From
-- ------ ----
9987/udp ALLOW Anywhere
9990/udp ALLOW Anywhere
9999/udp ALLOW Anywhere
30033/tcp ALLOW Anywhere
3400/udp ALLOW Anywhere
2302 ALLOW Anywhere
80 ALLOW Anywhere
Anywhere ALLOW x.xx.xxx.xxx
9987/udp ALLOW Anywhere (v6)
9990/udp ALLOW Anywhere (v6)
9999/udp ALLOW Anywhere (v6)
30033/tcp ALLOW Anywhere (v6)
3400/udp ALLOW Anywhere (v6)
2302 ALLOW Anywhere (v6)
80 ALLOW Anywhere (v6)
29910/udp DENY OUT Anywhere
29910/udp DENY OUT Anywhere (v6)Concernant l'autorisation des ports sur mon IP, cela ne sert pas à rien puisque je n'autorise aucun port ayant accès à mon serveur depuis n'importe qu'elle endroit sauf via mon IP.
L'a po compris...
Bien ce n'est pas compliqué, avec UFW je n'autorise que les ports utiles. Comme le port apache, ports de serveurs de jeux et ports de serveur vocal. Tout le reste est bloquer, ainsi que le port SSH. D’où l'autorisation de tout les ports à mon IP, comme ça tout ce que j'utilise passant par un port n'est pas bloquer comme la connexion ssh.
Dernière modification par Musyanon (Le 21/01/2014, à 13:32)
Hors ligne
#13 Le 21/01/2014, à 13:50
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
root@ubuntu:~# ufw verbose
J'ai demandé "ufw status verbose", pas "ufw verbose"...
D’où l'autorisation de tout les ports à mon IP
Ok, quand tu écris "Mon IP" tu sous-entends « l'adresse IP de mon poste de travail » et non pas « l'adresse IP de mon serveur »... D'où mon incompréhension.
... d'où la nécessite d'être clair quand on explique quelque chose...
-----
Quel est le retour de la commande suivante ?
iptables -nLSébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#14 Le 21/01/2014, à 14:09
- pires57
Re : [Résolu] Problème de port UFW et IPTABLES
le port apache
C'est quoi cela? Apache n'est pas un port, c'est un serveur qui écoutes sur un port (qui est par défaut le port 80 pour http)
Maintenant chez toi il y a un truc que je pige pas ... au niveau des firewall il y a deux écoles:
--> on bloque tout le trafic et on ouvre ce que l'on souhaite garder ouvert.
--> on ouvre tout et on ferme ce qu'on ne veut pas laisser ouvert.
ici, c'est sur et certain que tu as des règles inutiles... soit au niveau des deny, soit au niveau des allow .... en fonction de ton action par défaut .
faudrait que tu donnes toutes les infos parce que la tu ne nous donnes pas tout
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#15 Le 21/01/2014, à 19:51
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
root@ubuntu:~# ufw verbose
J'ai demandé "ufw status verbose", pas "ufw verbose"...
Autant pour moi :
root@ubuntu:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
9987/udp ALLOW IN Anywhere
9990/udp ALLOW IN Anywhere
9999/udp ALLOW IN Anywhere
30033/tcp ALLOW IN Anywhere
3400/udp ALLOW IN Anywhere
2302 ALLOW IN Anywhere
80 ALLOW IN Anywhere
Anywhere ALLOW IN x.xx.xxx.xxx
7240/udp ALLOW IN Anywhere
9987/udp ALLOW IN Anywhere (v6)
9990/udp ALLOW IN Anywhere (v6)
9999/udp ALLOW IN Anywhere (v6)
30033/tcp ALLOW IN Anywhere (v6)
3400/udp ALLOW IN Anywhere (v6)
2302 ALLOW IN Anywhere (v6)
80 ALLOW IN Anywhere (v6)
7240/udp ALLOW IN Anywhere (v6)
29910/udp DENY OUT Anywhere
29910/udp DENY OUT Anywhere (v6)Ok, quand tu écris "Mon IP" tu sous-entends « l'adresse IP de mon poste de travail » et non pas « l'adresse IP de mon serveur »... D'où mon incompréhension.
... d'où la nécessite d'être clair quand on explique quelque chose...
J'autorise mon IP internet et non pas l'IP de mon poste. Car mon Serveur est sur une autre IP et pas chez moi.
Quel est le retour de la commande suivante ?
iptables -nL
root@ubuntu:~# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 48484
ufw-before-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-input all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-forward all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-output all -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:29910
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ufw-skip-to-policy-input all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ufw-user-forward all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
ufw-not-local all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 239.255.255.250 udp dpt:1900
ufw-user-input all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ufw-user-output all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 state INVALID limit: avg 3/min burst 10
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:9987
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:9990
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:9999
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:30033
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3400
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2302
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:2302
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT all -- x.xx.xxx.xxx 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:7240
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destination
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:29910C'est quoi cela? Apache n'est pas un port, c'est un serveur qui écoutes sur un port (qui est par défaut le port 80 pour http)
Maintenant chez toi il y a un truc que je pige pas ... au niveau des firewall il y a deux écoles:
--> on bloque tout le trafic et on ouvre ce que l'on souhaite garder ouvert.
--> on ouvre tout et on ferme ce qu'on ne veut pas laisser ouvert.
ici, c'est sur et certain que tu as des règles inutiles... soit au niveau des deny, soit au niveau des allow .... en fonction de ton action par défaut .
faudrait que tu donnes toutes les infos parce que la tu ne nous donnes pas tout
Oui le port d'écoute....
Dans mon cas c'est plutôt :
--> on bloque tout le trafic et on ouvre ce que l'on souhaite garder ouvert.
Donc pour info, le serveur en question est un serveur que je loue, c'est pourquoi j'ai lancer ufw afin de tout bloquer à part quelque port, et c'est aussi pourquoi j'ai autorisé tout les ports à ma connexion.
Hors ligne
#16 Le 21/01/2014, à 20:35
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
J'autorise mon IP internet et non pas l'IP de mon poste. Car mon Serveur est sur une autre IP et pas chez moi.
Du point de vue de ton serveur, c'est l'IP de ton poste.
le serveur en question est un serveur que je loue, c'est pourquoi j'ai lancer ufw afin de tout bloquer à part quelque port
Quel est le rapport entre le fait que tu le loues et le fait que tu bloques les ports ? S'il n'y a pas de port inutile ouvert, pas besoin de bloquer. Menfin bon, il y a des partisans des pare-feux à outrance et les partisans de la propreté des système (et donc de l'inutilité des pare-feux), c'est un débat sans fin.
------------
Concernant le retour d'iptables que tu montres, il y a quelque chose que je ne comprends pas.
On voit, dans la chaîne "OUTPUT", la règle que tu as mise à la main, pour laquelle tu indiques que « ça fonctionne ». À partir de là, le blocage doit s'effectuer de toute façon. On voit, dans la chaîne "ufw-user-output", exactement la même règle : c'est celle qui est générée par UFW. Exactement la même, donc le blocage s'effectue théoriquement sur cette règle-là.
Donc le fait que tu indiques que « cela ne fonctionne toujours pas » (message #6) m'étonne grandement vu que tu indiques en #1 que la règle manuelle, qui est toujours en place, fonctionne.
Tiens, une autre vérification à faire (j'aurais pu te demander celle-là tout de suite) :
iptables -vnL(on verra alors le compte de paquets concernés par chaque règle)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#17 Le 21/01/2014, à 20:58
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Bien cela fonctionne seulement lorsque ufw est désactiver... Une fois actif marche plus...
root@ubuntu:~# iptables -vnL
Chain INPUT (policy DROP 7888 packets, 399K bytes)
pkts bytes target prot opt in out source destination
11M 16G fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 48484
85M 26G ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
85M 26G ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
1081K 311M ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
1018K 297M ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
1018K 297M ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
1018K 297M ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0
1018K 297M LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
0 0 ACCEPT all -- tun0 eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 19 packets, 772 bytes)
pkts bytes target prot opt in out source destination
126M 18G ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
126M 18G ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
931K 126M ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
931K 126M ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
931K 126M ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
931K 126M ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0
14 1668 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:29910
Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
11M 16G RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination
111 8658 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
3 144 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
12 600 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
2310 758K ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
2897 374K ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination
4371 219K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 ufw-user-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-input (1 references)
pkts bytes target prot opt in out source destination
2317K 288M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4406K 401M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
355 20597 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
355 20597 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
12 416 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
396 136K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
142K 6786K ufw-not-local all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ACCEPT udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
142K 6786K ufw-user-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination
2317K 288M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
9089K 1059M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6666 430K ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-logging-allow (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
pkts bytes target prot opt in out source destination
191 13605 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID limit: avg 3/min burst 10
48 2112 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
pkts bytes target prot opt in out source destination
137K 5655K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
5207 1132K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-reject-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-skip-to-policy-forward (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-input (7 references)
pkts bytes target prot opt in out source destination
5333 1141K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-track-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-output (1 references)
pkts bytes target prot opt in out source destination
3086 185K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
3561 244K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
Chain ufw-user-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
37 3433 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9987
5 457 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9990
16 1134 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9999
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:30033
11500 449K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3400
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2302
29379 1028K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2302
34923 1840K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
14 699 ACCEPT all -- * * x.xx.xxx.xxx 0.0.0.0/0
52764 1924K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:7240
Chain ufw-user-limit (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-logging-forward (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-input (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-output (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-output (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:29910Hors ligne
#18 Le 21/01/2014, à 21:15
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
Par le plus grand des hasards, les paquets en question ne font-ils pas partie d'une connexion déjà en cours ?
Peut-être passent-ils par la règle "[...] state RELATED,ESTABLISHED"...
... auquel cas ça sera bloqué quand ça correspondra à une nouvelle connexion.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#19 Le 21/01/2014, à 21:28
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Lorsque j'utilise le service le port continue de communiquer et ce même lorsque je redémarre le service. Mais quand ufw est désactivé cela à un effet immédiat et il est bloquer.
Hors ligne
#20 Le 21/01/2014, à 21:46
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
Tu peux essayer de trouver, avec les compteurs des différentes règles, par où ça passe (les compteurs s'incrémenteront quand il y aura des transferts...).
En tout cas le problème ne provient pas de la commande ufw utilisée pour mettre en place la règle, son résultat étant celui qu'on veut. C'est donc, en toute logique, avant cette règle que c'est explicitement accepté (d'où mon interrogation sur les "established, related")...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#21 Le 21/01/2014, à 22:44
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Peux tu m'expliquer comment faire ?
Hors ligne
#22 Le 21/01/2014, à 22:51
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
Moi les rares fois où je suis confronté à ce problème, je génère un max de paquet sur le(s) port(s) concerné(s) et je regarde comment les compteurs se comportent.
J'imagine qu'il y a des façons propres de le faire... mais lesquelles ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#23 Le 23/01/2014, à 13:45
- Musyanon
Re : [Résolu] Problème de port UFW et IPTABLES
Du jour au lendemain sans rien toucher, cela fonctionne ! UFW actif et port 29910 bloqué !
Merci !
Hors ligne
#24 Le 23/01/2014, à 14:03
- moko138
Re : [Résolu] Problème de port UFW et IPTABLES
pourquoi vouloir bloquer un paquet sortant ?
Pour empêcher les sorties indésirables, (par exemple de facebook.com qui tente de récupérer nos infos de navigation sans même qu'on aille sur ce site).
Merci de me dire si ça tient la route ou non.
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#25 Le 23/01/2014, à 14:45
- tiramiseb
Re : [Résolu] Problème de port UFW et IPTABLES
tiramiseb a écrit :pourquoi vouloir bloquer un paquet sortant ?
Pour empêcher les sorties indésirables, (par exemple de facebook.com qui tente de récupérer nos infos de navigation sans même qu'on aille sur ce site).
Merci de me dire si ça tient la route ou non.
En ayant l'esprit assez tordu, oui ça pourrait être une raison.
Mais bon, pour ce genre d'usage il y a des extensions dans les navigateurs qui fonctionnent très bien.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne