Disque dur freebox ne se monte pas avec iptables actif

Laurent001 · Octobre 27, 2018, 2:58pm

Bonjour,

J’arrive à monter le disque dur de ma freebox sur mon PC client (réseau local) mais seulement si j’ai vidé mes règles iptables avant. Si je reboote, ça ne se monte donc pas. Quelqu’un peut me dire pourquoi?

Voici mes règles iptables:

 1 #!/bin/sh
 2 
 3 # Réinitialise les règles
 4 sudo iptables -t filter -F
 5 sudo iptables -t filter -X
 6 
 7 # Bloque tout le trafic
 8 sudo iptables -t filter -P INPUT DROP
 9 sudo iptables -t filter -P FORWARD DROP
10 sudo iptables -t filter -P OUTPUT DROP
11 
12 # Autorise les connexions déjà établies et localhost
13 sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
14 sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
15 sudo iptables -t filter -A INPUT -i lo -j ACCEPT
16 sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
17 
18 # ICMP (Ping)
19 sudo iptables -t filter -A INPUT -p icmp -j ACCEPT
20 sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT
21 
22 # SMB et CIFS
23 iptables -t filter -A INPUT -p tcp --dport 135
24 iptables -t filter -A OUTPUT -p tcp --dport 135
25 iptables -t filter -A OUTPUT -p udp --dport 135
26 iptables -t filter -A INPUT -p udp --dport 135
27 
28 iptables -t filter -A INPUT -p tcp --dport 137
29 iptables -t filter -A OUTPUT -p tcp --dport 137
30 iptables -t filter -A OUTPUT -p udp --dport 137
31 iptables -t filter -A INPUT -p udp --dport 137
32 
33 iptables -t filter -A OUTPUT -p udp --dport 138
34 iptables -t filter -A INPUT -p udp --dport 138
35 
36 iptables -t filter -A INPUT -p tcp --dport 139
37 iptables -t filter -A OUTPUT -p tcp --dport 139
38 
39 iptables -t filter -A INPUT -p tcp --dport 445
40 iptables -t filter -A OUTPUT -p tcp --dport 445
41 iptables -t filter -A OUTPUT -p udp --dport 445
42 iptables -t filter -A INPUT -p udp --dport 445
43 
44 # SSH
45 sudo iptables -t filter -A INPUT -p tcp --dport 23 -j ACCEPT 
46 sudo iptables -t filter -A OUTPUT -p tcp --dport 23 -j ACCEPT
47 sudo iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT 
48 sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
49 
50 # DNS
51 sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
52 sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
53 sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
54 sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
55 
56 # HTTP
57 sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
58 sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 
59 
60 # HTTPS
61 sudo iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT 
62 sudo iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
63 
64 # FTP 
65 sudo iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT 
66 sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 
67 
68 # Mail SMTP 
69 iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
70 iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
71 
72 # Mail POP3
73 iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT 
74 iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT 
75 
76 # Mail IMAP
77 iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT 
78 iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT 
79 
80 # NTP (horloge du serveur) 
81 sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
82 
83 # Kore = kodi remote
84 sudo iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT 
85 sudo iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT 
86 
87 # Scanner
88 sudo iptables -t filter -A OUTPUT -p tcp --dport 54921 -j ACCEPT 
89 sudo iptables -t filter -A INPUT -p udp --dport 54928 -j ACCEPT

mattotop · Octobre 27, 2018, 4:05pm

Tes règles # SMB et CIFS n’ont pas de cible, tu as juste oublié le -j ACCEPT

Laurent001 · Octobre 27, 2018, 5:05pm

Damn it !

Merci bcp

PascalHambourg · Octobre 27, 2018, 5:25pm

Remarques sur le jeu de règles :
Le port 23 est normalement attribué à Telnet, pas SSH.
Le port 20 ne sert à rien dans tes règles pour FTP.

Tu as testé le FTP ? Ces règles ne suffisent pas, il faut que le module de suivi de connexion FTP du noyau soit chargé et à partir de Stretch soit que l’affectation automatique des assistants de suivi de connexion soit explictement activé (ce qui est déconseillé pour raisons de sécurité), soit ajouter des règles pour l’affectation explicte de l’assistant de suivi de connexion FTP.

Et à part ça, cette machine fait réellement office de serveur Samba, Telnet, SSH, DNS, HTTP(S), FTP, SMTP, POP3, IMAP, Kore ? C’est assez rare qu’une même machine soit à la fois client et serveur pour tous ces protocoles.

Laurent001 · Octobre 27, 2018, 6:55pm

Merci pour ces précisions.
J’ai effectivement des règles à enlever comme Telnet et FTP que je n’utilise pas.
Pour le port 23, je l’utilise pour accéder via SSH à un deuxième PC portable en réseau local (port forwarding).

Ce PC fixe me sert de “terrain de jeu”. Je dev dessus avec vim depuis l’extérieur en SSH (ou avec PC portable) et j’ai aussi installé plusieurs applications web comme kanboard ou nextcloud.

Et dernièrement j’ai installé Kodi car ce PC est derrière ma TV. Bref, c’est mon petit terrain de jeu: 70% serveur - 30% desktop.

J’ai véritablement basculé sous linux depuis 9 mois environ et je suis pris d’une petite frénésie à tout tester/tenter. Mais je reste propre sur mon petit cloud avec une debian minimale et mon site principal.
Et je suis assez bluffé de la stabilité pour ce multi-usage avec un débutant aux manettes. Je pensais avoir un confort moyen sous linux mais gnome 3 m’a bluffé aussi.

++

Clochette · Octobre 27, 2018, 7:35pm

Eh benh après 9 mois tu fais tout ça … chapeau et bonne continuation, autre terrain de jeux si tu dev, les container avec du docker pourquoi pas

Laurent001 · Octobre 27, 2018, 8:38pm

Oui ça me fait de l’oeil lxc et docker (même chroot) mais mon utilisation reste perso.
Mon cloud et mon pc fixe suivent la même version stable de debian et c’est nickel ainsi.

Je dis ça mais vim c’était un quasi caprice…