[RESOLU]Configurer iptables pour commande apt-get

valdoison · Le 04/07/2012, à 09:17

Bonjour,

J'ai configuré iptables sur mon serveur avec les divers tutos des forums.
Mon problème se réduit à l'ouverture des ports pour la commande apt-get qui ne passe pas.
Y a t'il des ports spécifiques ou peut-être que le port 80 est mal configurer, en supposant que apt-get utilisite http?

Cordialement

Dernière modification par valdoison (Le 07/07/2012, à 08:28)

daftaupe · Le 04/07/2012, à 10:31

Bonjour,

à priori quand tu rentres les adresses des dépôts dans ton sources.list ce sont des urls de la forme : http://quelquechose
Donc on peut considérer que c'est du http.
Après tu peux aussi essayer de voir ce qui passe avec un tcpdump pendant que tu fais un apt-get update par exemple.

tcpdump -ni any dst ip.du.depot.visé and port 80

ou

tcpdump -ni any dst ip.du.depot.visé

si tu ne vois rien avec le premier, cela te permettra de voir le port utilisé.

valdoison · Le 04/07/2012, à 15:07

Merci,
Mais je ne trouve pas les IP des dépots.
Il semblerait que cette question soit récurente car elle est posée un grand nombre de fois sur les forums, sans jamais avoir une réponse.
Mes dépots sont bien en HTTP et le port 80 est ouvert en tcp INPUT/OUTPUT.
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p cp --dport 80 -j ACCEPT J'ai éssayé avec sport
J'ai essayé aussi en udp pour INPUT/OUTPUT
L'accés à mon serveur WEB fonctionne mais pas apt-get?

Cordialement

Haleth · Le 04/07/2012, à 15:25

Ben, dans ton cas, faut que tu fasses ca :

iptables -F
iptables -X
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

En gros, c'est la conf qui convient à ton cas

daftaupe · Le 04/07/2012, à 16:01

euh ouais mais dans ce cas tu laisses absolument tout rentrer et sortir, en gros autant ne pas mettre d'iptables. Je doute que ce soit ce que le créateur du topic veuille.

Haleth · Le 04/07/2012, à 16:25

Beuh, oui, m'enfin iptables sert dans de rare cas
Dans celui-ci, il ne te seras d'aucune utilitée

sorrodje · Le 04/07/2012, à 16:31

Bonjour ,

Quel est le retour de

#iptables -L

s'il te plait ?

et quel le retour d'erreur quand tu utilises apt-get ?

valdoison · Le 04/07/2012, à 20:58

Bonsoir,
Pour #iptables -L -v partie HTTP
pour INPUT:OUTPUT
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp spt:www

Pour les erreurs après #apt-get update:
Err http://fr.archive.ubuntu.com oneiric InRelease
Err http://fr.archive.ubuntu.com oneiric-updates InRelease
Err http://security.ubuntu.com oneiric-security InRelease
Err http://security.ubuntu.com oneiric-security Release.gpg
Erreur temporaire de résolution de <<security.ubuntu.com>>
Err http://fr.archive.ubuntu..com oneiric Release.gpg
Erreur temporaire de résolution de <<fr.archive.ubuntu.com>>
Err http://fr.archive.ubuntu..com oneiric-updates Release.gpg
Erreur temporaire de résolution de <<fr.archive.ubuntu.com>>
Lecture des listes de paquets...Fait
w: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dis … /InRelease
w: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dis … /InRelease
w: Impossible de récupérer http://security.ubuntu.com/ubuntu/dists … /InRelease
w: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dis … elease.gpg Erreur temporaire de résolution de <<fr.archive.ubuntu.com>>

w: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dis … elease.gpg Erreur temporaire de résolution de <<fr.archive.ubuntu.com>>
w: Impossible de récupérer http://frsecurity.ubuntu.com/ubuntu/dis … elease.gpg Erreur temporaire de résolution de <<security.ubuntu.com>>

Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les aniens ont été utikisés à la place

Dernière modification par valdoison (Le 04/07/2012, à 20:59)

sorrodje · Le 04/07/2012, à 21:44

dans tes règles iptables il faut ouvrir le trafic sortant pour les DNS je pense ?

Genre :

# DNS 
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT  
#iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT  
#iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

Copié/collé/adapté du contenu de mon propre script /etc/init.d/firewall : http://sorrodje.alter-it.org/index.php? … debian-6-0 ?

Dernière modification par sorrodje (Le 04/07/2012, à 21:45)

valdoison · Le 05/07/2012, à 06:50

Ces regles ne permettent pas de faire fonctionner apt-get update.

J'ai essayé un apt-get upgrade, qui bien sur ne met rien à jour puisque apt-get update ne foctionne pas, mais il n'y a pas d'erreur à l'éxécution.

valdoison · Le 05/07/2012, à 09:45

J'ai fait l'expérience sur une distribution DEBIAN et j'ai le même résultat.

Pseudo supprimé · Le 05/07/2012, à 10:30

pas convaincu que cela vienne de iptables mais plutôt d'un problème de rafraîchissement de dépôt.

http://fr.archive.ubuntu.

as-tu essayé d'utiliser un autre serveur comme dépôt ?

valdoison · Le 05/07/2012, à 10:50

Je vais essayé, mais si je supprime la table Iptables apt-get fonctionne correctement. Il semble bien que le port ne soit pas ouvert: Mais lequel?

sorrodje · Le 05/07/2012, à 11:04

apt-get n'utilise pas de port particulier que je sache . il suffit que les port nécessaires à http/https/ftp selon les dépôts et dns pour la résolution des noms de domaine ( hors ton erreur semble relever d'un problème de résolution et c'est pour ça que je te parlais de tes règles concernant le DNS) soient ouverts.

Autorise de manière générale tout le trafic sortant ( ce qui ne pose pas de souci de sécurité à ma connaissance) et apt-get doit logiquement fonctionner sans problème AMHA.

Haleth · Le 05/07/2012, à 11:16

Parcque le trafic entrant pose des soucis de securité ?
Non.

sorrodje · Le 05/07/2012, à 11:42

Haleth . Oui tu as raison en fait .

valdoison · Le 05/07/2012, à 13:35

En laissant tout le traffic entrant ouvert apt-get fonctionne bien.

Donc je laisse tout sortir et je ne fais de règles iptables que pour les entrées.

Je vais quand même faire l'essai en autorisant en sortie que les ports 80, 443, 21, 22, 53.

Merci

valdoison · Le 05/07/2012, à 14:00

Je n'ai finalement permis en sortie que les ports 80, 21, 22, 53, 443. Apt-get fonctionne bien.

En entrée je n'ai pas besoin des ports 21, 22, 53, 443. Faut'il les laisser ouverts pour apt-get?

Merci

daftaupe · Le 05/07/2012, à 14:04

Je dirais que tu peux tous les fermer sauf le 53. Le plus simple étant que tu testes si cela fonctionne bien une fois ces ports fermés.

valdoison · Le 05/07/2012, à 14:58

Merci pour votre aide.
J'utilise le port 80 pour mon site WEB et j'ai donc ouvert celui-ci dans les 2 sens.
J'ai laissé ouvert en sortie les ports 21, 22, 53, 443 et seulement le port 53 en entrée. Tout fonctionne bien au niveau de APT-GET.
Après réflection je pense avoir utilisé ton script, SORRODJE, pour faire la première configuration de ma table.

Je vais maintenant installer CLAMAV.

Cordialement

sorrodje · Le 05/07/2012, à 15:08

valdoison a écrit :

Après réflection je pense avoir utilisé ton script, SORRODJE, pour faire la première configuration de ma table.

Je pense aussi que tu es arrivé en effet aux même conclusions que moi.

Ceci dit , cette discussion m'aura surtout convaincu je crois de l'inutilité totale de mettre en oeuvre un pare feu dans le seul but de "fermer" des ports. Par définition en fait , s'il n'y a pas de services à l'écoute , nul besoin de fermer quoi que ce soit.

valdoison · Le 05/07/2012, à 16:27

tu penses donc qu'il est préférable de pauffiner la sécurié dans les applications ou les services qui écoutent (http, ftp, ...) plutôt que de sécuriser l'accés aux ports.

sorrodje · Le 05/07/2012, à 17:53

Eh bien suite à la remarque de Haleth , je me suis paluché un peu de lecture sur le sujet et en effet c'est la conclusion auquelle je suis arrivé. Sachant que sous Linux un port n'est "ouvert" que si une appli écoute derrière, ça ne sert à rien de fermer à priori et d'ouvrir ce qui doit l'être puisque au final ça revient à ne rien faire de plus ce que fait déjà le systeme. A ce que j'ai compris.

Pour le moment je laisse mes petits firewall en l'état en attendant de creuser la question mais voilà: Il semblerait qu'on reproduise un peu bêtement des consignes de mise en place "obligatoire" de firewall alors qu'au final , or cas spécifique , ça n'a pas grande utilité

En l'état , ils ne nuisent pas en tous cas.

Je ne sais si Haleth aurait des choses à rajouter ?

Dernière modification par sorrodje (Le 05/07/2012, à 17:54)

valdoison · Le 06/07/2012, à 07:13

C'est peut-être exact mais je suis étonné.
Cela voudrait dire que LINUX ferme tous les ports et que chaque application ou service ouvrent ceux dont ils ont besoin. Le fait de tout fermer par une régle iptables n'apporterait rien de plus.
Cependant dans le cas de apt-get, ce service aurait donc dû ouvrir les ports utiles à son fonctionnement, ce qui n'a pas été fait puisque j'ai dû ouvrir ces ports .
Autre exemple: OPEN-SSH qui en base écoute le port 22 (si je ne trompe pas). Par mesure de sécurité j'ai modifié ce port en 5483 par exemple. Il m'a fallu l'ouvrir par une régle iptables.
Ou alors les régles iptables passent après tous les chargements des application et des services.

Dernière modification par valdoison (Le 06/07/2012, à 07:20)

sorrodje · Le 06/07/2012, à 08:41

Sauf erreur de ma part, si tu as besoin de spécifier une règles iptables pour ouvrir un port c'est qu'obligatoirement tu as du le fermer avant via une autre règle . Par défaut juste après installation tout est ouvert.

Pour le reste les ports sont "ouverts" par défaut mais si rien n'écoute sur le port en question , ça n'a aucune espèce d'importance qu'il soit ouvert ou non. Rien ne passera à travers un port 22 si on ne décide pas spécifiquement qu'une appli doit l'utiliser.

De ce que j'ai compris en tous cas en lisant ça : ( issu de la doc Ubuntu d'ailleurs ) http://forum.ubuntu-fr.org/viewtopic.php?id=399418 mais j'ai retrouvé les mêmes types d'argumentation que Hoper sur le forum OVH par exemple.

Je prendrai le temps de me faire un avis plus sur avant de jeter ufw ou mes scripts iptables quand même

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/07/2012, à 09:17

[RESOLU]Configurer iptables pour commande apt-get

#2 Le 04/07/2012, à 10:31

Re : [RESOLU]Configurer iptables pour commande apt-get

#3 Le 04/07/2012, à 15:07

Re : [RESOLU]Configurer iptables pour commande apt-get

#4 Le 04/07/2012, à 15:25

Re : [RESOLU]Configurer iptables pour commande apt-get

#5 Le 04/07/2012, à 16:01

Re : [RESOLU]Configurer iptables pour commande apt-get

#6 Le 04/07/2012, à 16:25

Re : [RESOLU]Configurer iptables pour commande apt-get

#7 Le 04/07/2012, à 16:31

Re : [RESOLU]Configurer iptables pour commande apt-get

#8 Le 04/07/2012, à 20:58

Re : [RESOLU]Configurer iptables pour commande apt-get

#9 Le 04/07/2012, à 21:44

Re : [RESOLU]Configurer iptables pour commande apt-get

#10 Le 05/07/2012, à 06:50

Re : [RESOLU]Configurer iptables pour commande apt-get

#11 Le 05/07/2012, à 09:45

Re : [RESOLU]Configurer iptables pour commande apt-get

#12 Le 05/07/2012, à 10:30

Re : [RESOLU]Configurer iptables pour commande apt-get

#13 Le 05/07/2012, à 10:50

Re : [RESOLU]Configurer iptables pour commande apt-get

#14 Le 05/07/2012, à 11:04

Re : [RESOLU]Configurer iptables pour commande apt-get

#15 Le 05/07/2012, à 11:16

Re : [RESOLU]Configurer iptables pour commande apt-get

#16 Le 05/07/2012, à 11:42

Re : [RESOLU]Configurer iptables pour commande apt-get

#17 Le 05/07/2012, à 13:35

Re : [RESOLU]Configurer iptables pour commande apt-get

#18 Le 05/07/2012, à 14:00

Re : [RESOLU]Configurer iptables pour commande apt-get

#19 Le 05/07/2012, à 14:04

Re : [RESOLU]Configurer iptables pour commande apt-get

#20 Le 05/07/2012, à 14:58

Re : [RESOLU]Configurer iptables pour commande apt-get

#21 Le 05/07/2012, à 15:08

Re : [RESOLU]Configurer iptables pour commande apt-get

#22 Le 05/07/2012, à 16:27

Re : [RESOLU]Configurer iptables pour commande apt-get

#23 Le 05/07/2012, à 17:53

Re : [RESOLU]Configurer iptables pour commande apt-get

#24 Le 06/07/2012, à 07:13

Re : [RESOLU]Configurer iptables pour commande apt-get

#25 Le 06/07/2012, à 08:41

Re : [RESOLU]Configurer iptables pour commande apt-get

Pied de page des forums