Ubuntu 9.04, plaintes contre Firestarter même derrière le routeur NAT

0

Je suis derrière un routeur. Dans la configuration du routeur, j'ai bloqué:

  • tous les UDP (entrants et sortants)
  • ICMP entrant

Les iptables locaux sont configurés avec l’assistant Firestarter:

  • bloquer toutes les connexions entrantes
  • autoriser toutes les connexions sortantes
  • filtre ICMP sauf ping
  • bloquer la diffusion depuis un réseau externe

À présent, Firestarter continue de se plaindre du blocage des connexions TCP et ICMP sur mon IP interne (192.168.0. *), Sur différents ports. Il n'y a pas de plaintes UDP, mais uniquement parce que le routeur les bloque toutes. Autrefois, avec UDP-s bloqué entrant (mais pas sortant), je recevais aussi des tonnes de connexions UDP bloquées (en particulier avec le lancement de Skype).

Je ne comprends pas comment il est possible que Firestarter se plaint de connexions TCP bloquées. Si j'ai bien compris, derrière le routeur, je ne suis pas joignable du monde extérieur (à cause de la traduction NAT), et le routeur ne transmet que les paquets entrants correspondant aux paquets sortants. Maintenant, iptables devrait fonctionner de la même manière: il devrait accepter les paquets de réponse entrants correspondant aux anciens paquets sortants. Donc, si le paquet TCP parvient à aller de mon ordinateur au serveur extérieur, alors la réponse ne devrait jamais être bloquée.

De plus, je ne comprends pas comment les paquets ICMP peuvent transiter par le routeur et planter sur mon iptables - ils devraient tous être bloqués dans le routeur (notez que tous les ICMP qui arrivent sur mon iptables sont sur le port 80, peut-être est-ce un indice)

Quelqu'un pourrait-il m'indiquer la bonne direction pour résoudre ces problèmes (le cas échéant, je suis peut-être mal informé).

Tomasz Zieliński
la source

Réponses:

0

ICMP est nécessaire pour que les opérations IP correctes ne les bloquent pas, bien que vous puissiez bloquer les demandes d'écho ICMP. Il n'y a pas de port ICMP 80, mais vous obtiendrez probablement des messages inaccessibles pour différents sites Web sur le port 80. Les messages ICMP ne planteront pas votre iptables.

Ntp devrait être en cours d’exécution, ce qui nécessitera l’ouverture du port 123 sur UDP. DNS sur le port 53 doit également être ouvert sur UDP et TCP.

Si vous utilisez Skype, vous devez autoriser les protocoles UDP et TCP sortants sur les ports éphémères (32768 à 61000) sur Ubuntu, ainsi que sur quelques autres. Vous devrez également autoriser les entrées UPD et TCP sur le port utilisé par Skype. Voir mon post sur le pare-feu Skype .

Vous devez vous attendre à un peu de trafic sur divers ports en provenance d'hôtes situés à l'intérieur de votre pare-feu. Vous recevrez également des paquets d'Internet si vous êtes sur l'adresse IP désignée comme zone démilitarisée sur votre routeur / pare-feu. Le pare-feu du routeur doit également transférer les paquets sur les ports associés pour des protocoles tels que FTP.

BillThor
la source
Cela ne répond pas tout à fait à ma question, mais merci quand même. La partie principale de ce que je demande est de savoir comment il se pourrait que Firestarter se plaint des connexions qui devraient être abandonnées par mon routeur.
Tomasz Zieliński
Si votre adresse IP est attribuée à la zone démilitarisée, il est peu probable que le routeur bloque quoi que ce soit.
BillThor
En fonction du routeur et de sa configuration, il est possible que vous en voyiez le trafic. Si les adresses source et de destination sont les mêmes pour les trois premiers octets, elles ne proviennent pas d'Internet.
BillThor
La DMZ est désactivée. Vous dites donc que le routeur lui-même peut générer du trafic? Existe-t-il une quelconque raison pour laquelle, par exemple, Skype provoque de telles connexions beaucoup plus fréquemment que lorsque Skype est désactivé?
Tomasz Zieliński
Divers services tels que les partages Windows, les protocoles de routage et autres utilisent des diffusions périodiques pour annoncer leur présence et découvrir d'autres ordinateurs. Si l’un d’entre eux est en cours d’exécution sur votre routeur, vous constaterez probablement un trafic en provenance du routeur. Si vous utilisez DHCP, votre ordinateur initiera périodiquement un échange avec le routeur. Skype est très prolixe. Voir mon message sur systemajik.com/blog/firewalling-google-chat-and-skype
BillThor