Apprentissage iptables

Bonjour à tous,

J’aimerais approfondir mes connaissance en iptables, j’utilise uptables-persistent.

Dernièrement j’ai voulu imprimer depuis mon téléphone avec client cups, serveur cups sur rasp sur lequel j’ai ajouté l’imprimante qui a bien été détecté. (J’ai du désactiver mes règles iptables).

L’ouverture du port 631 n’avait pas suffi pour :
1-serveur cups : détecter/associer via l’interface web l’imprimante sur le réseau local 192.168.1.X
2-détecter avec le mobile (client cups) une imprimante associé au serveur cups

Voici mon /etc/iptables/rules.v4

[code=bash]# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*raw
:PREROUTING ACCEPT [1414:139193]
:OUTPUT ACCEPT [964:185537]
COMMIT

Completed on Sun Dec 31 15:22:56 2017

Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017

*mangle
:PREROUTING ACCEPT [1414:139193]
:INPUT ACCEPT [1401:125545]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [964:185537]
:POSTROUTING ACCEPT [967:185633]
COMMIT

Completed on Sun Dec 31 15:22:56 2017

Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017

*nat
:PREROUTING ACCEPT [15:13748]
:INPUT ACCEPT [2:100]
:OUTPUT ACCEPT [12:771]
:POSTROUTING ACCEPT [12:771]
COMMIT

Completed on Sun Dec 31 15:22:56 2017

Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]

###########################################
################ INPUT ################
###########################################

#Allow trafic on internal network
-A INPUT -i lo -j ACCEPT

#Allow ping to internal network
-A INPUT -i eth0 -p icmp -j ACCEPT

#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH and SFTP
-A INPUT -p tcp -m tcp --dport ssh -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT

#XMPP
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#Allow cups
-A INPUT -i eth0 -p UDP --dport 631 -j ACCEPT

###########################################
############### OUTPUT ################
###########################################

#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -o eth0 -p icmp -j ACCEPT

COMMIT[/code]


Après j’ai du mal avec ces 3 lignes de code :

:INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [13:1456]

Egalement, a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu’ils sont autorisés avec cette ligne :

#Allow all packets ESTABLISHED,RELATED but not all NEW packets -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Autrement, je pensais autoriser les transferts de paquets entre les périphériques de mon réseau local, la c’est sans risque!
Enfin, sans intrusion bien sur (je n’ai pas trouvé d’autres solutions pour faire en sorte de faire marcher le service d’impression cups).

Je pensais à la ligne suivante :

-A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

Si vous avez un support d’apprentissage pour iptables, je suis preneur.

Merci par avance.

Bonjour,
tu va d’abord enlever les RELATED d e ton iptables.

Voici un exemple d’ouverture de port :
Il te faut 2 types de règle, celle qui s’occupe de tout les ESTABLISHED :
-A INPUT -m state --state ESTABLISHED -j ACCEPT

puis celles qui s’occupe des nouvelles connections. :

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
.......

doc : iptables [Wiki ubuntu-fr]

Az

Un peu gros comme tutoriel mais pas mal fait.

Merci pour tes conseils.