Bonjour à tous,
J’aimerais approfondir mes connaissance en iptables, j’utilise uptables-persistent.
Dernièrement j’ai voulu imprimer depuis mon téléphone avec client cups, serveur cups sur rasp sur lequel j’ai ajouté l’imprimante qui a bien été détecté. (J’ai du désactiver mes règles iptables).
L’ouverture du port 631 n’avait pas suffi pour :
1-serveur cups : détecter/associer via l’interface web l’imprimante sur le réseau local 192.168.1.X
2-détecter avec le mobile (client cups) une imprimante associé au serveur cups
Voici mon /etc/iptables/rules.v4
[code=bash]# Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*raw
:PREROUTING ACCEPT [1414:139193]
:OUTPUT ACCEPT [964:185537]
COMMIT
Completed on Sun Dec 31 15:22:56 2017
Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*mangle
:PREROUTING ACCEPT [1414:139193]
:INPUT ACCEPT [1401:125545]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [964:185537]
:POSTROUTING ACCEPT [967:185633]
COMMIT
Completed on Sun Dec 31 15:22:56 2017
Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*nat
:PREROUTING ACCEPT [15:13748]
:INPUT ACCEPT [2:100]
:OUTPUT ACCEPT [12:771]
:POSTROUTING ACCEPT [12:771]
COMMIT
Completed on Sun Dec 31 15:22:56 2017
Generated by iptables-save v1.6.0 on Sun Dec 31 15:22:56 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]
###########################################
################ INPUT ################
###########################################
#Allow trafic on internal network
-A INPUT -i lo -j ACCEPT
#Allow ping to internal network
-A INPUT -i eth0 -p icmp -j ACCEPT
#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH and SFTP
-A INPUT -p tcp -m tcp --dport ssh -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
#XMPP
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#Allow cups
-A INPUT -i eth0 -p UDP --dport 631 -j ACCEPT
###########################################
############### OUTPUT ################
###########################################
#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -o eth0 -p icmp -j ACCEPT
COMMIT[/code]
Après j’ai du mal avec ces 3 lignes de code :
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:1456]
Egalement, a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu’ils sont autorisés avec cette ligne :
#Allow all packets ESTABLISHED,RELATED but not all NEW packets
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Autrement, je pensais autoriser les transferts de paquets entre les périphériques de mon réseau local, la c’est sans risque!
Enfin, sans intrusion bien sur (je n’ai pas trouvé d’autres solutions pour faire en sorte de faire marcher le service d’impression cups).
Je pensais à la ligne suivante :
-A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPTSi vous avez un support d’apprentissage pour iptables, je suis preneur.
Merci par avance.