iptables [Résolu]

soume86
Messages : 64
Inscription : 06 mars 2012, 10:38

iptables [Résolu]

Message par soume86 » 13 mars 2012, 17:45

Bonjour à tous le monde,

Je veux accéder à mon serveur CentOS via le réseau.
Sur ma machine windows j'ai installé vnc pour accéder à distance sur mon serveur CentOS.

Depuis ma machine windows, je peux y accéder mais sans que le firewall (iptables) de CentOS ne soit démarrer,
(Donc j'ai fait un iptables stop).

Maintenant ce que je voulais faire, c'est de pouvoir y accéder depuis ma Windows mais avec iptables activé.
J'ai vu qu'il faut mettre une régles, mais comme je suis nouveau sous linux je sais pas comment faire.


Merci de m'aider.
Dernière modification par soume86 le 22 mars 2012, 10:56, modifié 1 fois.

MarbolanGos
Messages : 341
Inscription : 26 octobre 2009, 19:03

Re: iptables

Message par MarbolanGos » 14 mars 2012, 12:48

Tout dépend de la configuration du VNC...
Mais il faut faire, en ligne de commande :

Code : Tout sélectionner

iptables -A INPUT -i eth0 --protocol tcp --destination-port XX:YY -m state --state NEW -j ACCEPT
Avec XX et YY les ports utilisés par VNC.
Attention ici je parle pour le eth0 qui est le nom de ma carte réseau.

Sinon avec l'interface graphique. Dans "Other Ports" ajouter la plage XX:YY en tcp et redémarrer le pare-feu
http://rarebril.com/blog
http://www.smolts.org/client/show/pub_d44745d4-fc38-4d31-a94c-499e6e1838ea

soume86
Messages : 64
Inscription : 06 mars 2012, 10:38

Re: iptables

Message par soume86 » 14 mars 2012, 13:08

Au fait, j'ai pas installé le serveur VNC, j'ai juste activé le bureau à distance de linux.
Et sur ma machine windows j'ai installé vnc wiever,

donc pour la règle iptables, faut mettre un port? si oui, lequel?

Merci pour ta réponse.

MarbolanGos
Messages : 341
Inscription : 26 octobre 2009, 19:03

Re: iptables

Message par MarbolanGos » 14 mars 2012, 14:41

Je suppose que c'est ce truc : http://docs.redhat.com/docs/en-US/Red_H ... sktop.html
Je ne sais pas quel port ça utilise par défaut mais normalement le port c'est 5908 pour le VNC.
http://rarebril.com/blog
http://www.smolts.org/client/show/pub_d44745d4-fc38-4d31-a94c-499e6e1838ea

soume86
Messages : 64
Inscription : 06 mars 2012, 10:38

Re: iptables

Message par soume86 » 15 mars 2012, 10:29

Bonjour,

J'ai essayé les commandes:
iptables -A INPUT -i eth0 --protocol tcp --destination-port 5900 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --destination-port 5908 -m state --state NEW -j ACCEPT

mais sa ne parche pas.

Quand je regarde la table netfilter (sur INPUT), je vois que y'a:
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Est ce que c'est à cause de sa?

Merci!

MarbolanGos
Messages : 341
Inscription : 26 octobre 2009, 19:03

Re: iptables

Message par MarbolanGos » 15 mars 2012, 10:53

ICMP : c'est pour le ping normalement ça gêne pas.

Pour connaître le port il va falloir tracer avec wireshark ou autre (nmap) pour voir par quel port ça passe lorsque le pare feu est ouvert.
http://rarebril.com/blog
http://www.smolts.org/client/show/pub_d44745d4-fc38-4d31-a94c-499e6e1838ea

soume86
Messages : 64
Inscription : 06 mars 2012, 10:38

Re: iptables

Message par soume86 » 15 mars 2012, 17:39

Je sais pas mais c'est
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
qui bloc.

Parce que quand je le supprime dans la table, sa marche sans même ajouter une règle pour autorisé le port 5908 ou autre.

Avatar de l’utilisateur
Heldwin
Messages : 440
Inscription : 20 octobre 2009, 10:11
Localisation : Unknown

Re: iptables

Message par Heldwin » 17 mars 2012, 21:25

Il faut rajouter ta ligne dans iptables avant la ligne du reject all.
Si tu retires la ligne reject all, tu permets à tout d'entrer sur ton serveur, donc iptables devient un peu inutile.

Sinon tu passes tes règles entrantes en DROP par default, ce qui rendra la ligne du reject all à la fin inutile, puisque ça bloquera tout ce qui n'est pas explicitement autorisé.

soume86
Messages : 64
Inscription : 06 mars 2012, 10:38

Re: iptables

Message par soume86 » 19 mars 2012, 12:49

Meme avec sa, sa marche pas, du coup j'ai:

- désactivé l'option bureau à distance,
- installé le serveur vnc
- autorisé le port sur lequel vnv écoute
- activé le Firewall
- ajouté la règle suivante " -A INPUT -i eth0 --protocol tcp --destination-port XX -m state --state NEW -j ACCEPT" dans le fichier /etc/sysconfig/iptables,

Et après un redémarage de la machine sa marche nickel meme sans toucher au pare feu.

Cdr,

Avatar de l’utilisateur
nouvo09
Messages : 2195
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: iptables

Message par nouvo09 » 19 mars 2012, 14:25

iptables ça n'est pas le pare-feu ?
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

Répondre