Digression Installation parefeu (iptables & ip6tables) "pour les nuls"

Si le script ne fait pas référence à une interface particulière (sauf lo) et donc traite toutes les interfaces de la même façon et si c’est ce que tu veux, alors il n’a pas besoin d’adaptation.

C’est différent si tu veux appliquer des règles différentes sur les interfaces ethernet et wifi, par exemple autoriser des connexions entrantes et sortants sur l’interface ethernet parce que tu fais confiance à ton réseau local, et filtrer plus strictement sur l’interface wifi.

Bonjour à tous,

Je me suis convaincu que ce forum était pour moi “pour les nuls”, du coup j’ai osé l’inscription et je me lance pour poser mon problème en espérant votre bienveillance. En effet en ce qui concerne le monde de linux, en dehors de apt-get update et install, je suis vite dépassé. En outre j’avoue que je ne connais rien en matière de réseau. Du coup, comme on dit je comprends vite mais il faut m’expliquer longtemps…un vrai boulet :slight_smile:
Pour être bref j’ai installé tant bien que mal squid3. Il fonctionne puisqu’il bloque la liste de domaines que j’ai créé en suivant plusieurs tutos. Mon problème c’est qu’il fonctionne uniquement en paramétrant iceweasel. Je suis obligé de coché “configuration manuelle du proxy” et de renseigner l’adresse ip et le port 3128. Quant à Chromium j’ai le message suivant "Lorsque vous exécutez Google Chrome dans un environnement de bureau compatible, les paramètres proxy du système sont utilisés. Cependant, soit votre système n’est pas compatible, soit un problème est survenu lors du lancement de votre configuration système."
Donc pour résumer sur chrome ça ne fonctionne pas et sur iceweasel n’importe qui peut décocher la config manuelle. J’ai vu qu’il fallait rendre alors le proxy transparent en rajoutant d’une part “transparent” après le port 3128 dans le fichier squid.conf puis en rajoutant des règle iptables…c’est alors que je suis tombé sur "installation parefeu “pour les nuls”. Le problème est que j’ai beau suivre le tuto en le combinant avec d’autres plus spécifiques à squid, il n’y a rien à faire, je n’arrive pas à rediriger le trafic internet vers le 3128 en “transparent”. Est ce que quelqu’un aurait l’amabilité de m’aider et de m’expliquer comment procéder (si possible simplement) ? Dernière précision il s’agit d’un ordinateur personnel branché derrière une freebox. Si je me suis trompé de section je m’excuse et dans ce cas merci de me préciser ou poster ma question.

Cordialement,

Asno

J’ai oublié de préciser que je suis sous Debian Jessie 8.4 (3.16.0-4-amd64) et que ma version de squid est la 3.4.8.

Ouvre un nouveau sujet car ce que tu demandes est un cas particulier. Tu n’as pas besoin d’un pare-feu complet.

Et aère ton message. Un gros pavé monolithique de 20 lignes ne donne pas envie de lire.

Je ne ssuis pas trop présent en ce moment mais j’ai l’impression que notre ami est parti

Non je ne suis pas parti…J’ai été discipliné j’ai écouté notre ami PascalHambourg et j’ai ouvert le sujet suivant : Configuration proxy transparent Squid3
J’attends que quelqu’un veuille bien me répondre.

Je suis allé voir ton lien mais malheureusement, je ne te serai d’aucun secours car je ne connais pas.
Sorry

Merci quand même…je patiente.

Ben dites donc ca doit faire longtemps que vous n’avez pas ouvert un livre, un article scientifique ou même un journal car franchement il n’y rien de choquant dans le paragraphe de cette personne…mais c’est vrai que 20 lignes sans une faute ca doit en etrangler plus d’un par içi

Ok je vais etre viré sans doute…bises

ps: @asno: vous rédigez bien

Salut,

Je serais toi (je sais, ce n’est pas le cas…) je suivrais le conseil de PascalHambourg (Les deux conseils, en fait: Ouvrir un autre sujet; Aérer mon texte et le rendre doux à l’oeil.)

Hum… Déjà fait. Ok, je vais me coucher… :grimacing:

Merci j’essaye en tout cas, ça me paraît être le minimum quand on respecte son prochain.

Oui j’ai écouté les conseils mais on ne me réponds toujours pas pour autant…à suivre…et bonne nuit :slight_smile:

Enfin une question de super nul:
J’ai crée mon_parefeu bêtement (puisque je suis nul) mais je n’ose pas le lancer car il y a déjà des règles dans iptables, règles qui ont été ajoutées, je pense, par KVM.
En faisant /etc/init.d/mon_parefeu stop avant toute chose, je pensais (re-nul) que config_parefeu serait crée et que j’aurais pu recopier dedans les règles existantes. Mais config_parefeu n’a pas été crée.
Comment récupérer les règles existantes et les insérer dans mon_parefeu ?

Salut,

Ne te dévalorise pas comme ça, on est tous ici le débutant d’un autre ;-).

Pour afficher les règles qui ont cours actuellement sur ta machine, tu as le choix entre deux commandes :

iptables -vL
iptables-save

Les deux à exécuter avec des droits administrateur, évidemment.

L’avantage de la seconde, c’est qu’elle t’affiche les règles dans un format directement copiable/collable dans ton fichier de config.

Je me dévalorise car souvent on me fait comprendre RTFM :wink:
iptables-save me donne ceci:

# Generated by iptables-save v1.4.21 on Mon Feb 20 17:56:22 2017
*mangle
:PREROUTING ACCEPT [163016733:170021909383]
:INPUT ACCEPT [113254778:126298917366]
:FORWARD ACCEPT [49972135:43758426347]
:OUTPUT ACCEPT [75604085:28596757558]
:POSTROUTING ACCEPT [125588807:72358707366]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Mon Feb 20 17:56:22 2017
# Generated by iptables-save v1.4.21 on Mon Feb 20 17:56:22 2017
*nat
:PREROUTING ACCEPT [2876969:187643385]
:INPUT ACCEPT [1118266:67079320]
:OUTPUT ACCEPT [563363:34428802]
:POSTROUTING ACCEPT [2321971:154986131]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Feb 20 17:56:22 2017
# Generated by iptables-save v1.4.21 on Mon Feb 20 17:56:22 2017
*filter
:INPUT ACCEPT [4770117:2945093141]
:FORWARD ACCEPT [4134973:3766262484]
:OUTPUT ACCEPT [4450965:1935854642]
:spoofing - [0:0]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -j LOG
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j LOG
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
-A spoofing -j DROP
-A spoofing -j LOG --log-prefix "Spoofed source IP"
COMMIT
# Completed on Mon Feb 20 17:56:22 2017

Puis-je faire un copier-coller de tout cela ?

On peut obtenir le même format de sortie avec iptables -S. Mais ce n’est pas le seul avantage d’iptables-save.
iptables -nvL ou ìptables -S`ont l’inconvénient de n’afficher que le contenu de la table “filter” (alors qu’ici on voit qu’il y a aussi des règles dans les tables “mangle” et “nat”) et de provoquer inutilement
le chargement de cette table en mémoire si elle n’était pas chargée.

En fait on n’a pas vraiment le choix. Il faut utiliser iptables-saveet rien d’autre.

Les lignes commençant avec “:” me troublent, il n’y en a pas dans le tutorial.
Peut-on dire que le tutorial est toujours à jour car de nombreuses personnes ont fait des remarques ?

Dans la syntaxe de la sortie d’iptables-save, “:” permet à la fois de définir la politique par défaut des chaînes de base (équivalent de iptables -P) et de créer les chaînes utilisateur (équivalent de iptables -N).

2 messages ont été déplacés vers un nouveau sujet : Problème firewall