Bonjour à tous.
Je suis en train de configurer mon premier RPI 4, et je n'arrive pas à faire une règle correcte pour iptables.
Lorsque je créé une table qui ouvre le port 5900, j'arrive à me connecté à VNC, l'écran de connexion du RPI s'affiche, puis, blocage. L'image reste figée, puis après un certain temps, j'ai une perte de connexion qui s'affiche.
La règle VNC que j'utilise est:
-A INPUT -p tcp --dport 5900 -j ACCEPT
Le reste de mes configurations est:
-A INPUT -i lo0 -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -s 192.168.1.0/24 -j ACCEPT
# Allow ping
#-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
Si vous avez une petite idée, je serais ravis de voir comment faire / et pourquoi.
Merci !
Règles Iptables pour VNC
Modérateurs : Francois, maxty01
Règles Iptables pour VNC
Modifié en dernier par Lokda le sam. 15 févr. 2020 17:34, modifié 1 fois.
-
- Modérateur
- Messages : 790
- Enregistré le : dim. 16 nov. 2014 20:53
- Localisation : Charleroi - Belgique
Re: Règles Iptables pour VNC
Bonsoir,
Pouvez-vous nous donner toutes vos commandes iptables dans l'ordre.
L'ordre est important dans iptables.
Bonne soirée,
Pouvez-vous nous donner toutes vos commandes iptables dans l'ordre.
L'ordre est important dans iptables.
Bonne soirée,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
Re: Règles Iptables pour VNC
Salut à tous.
Oui, communiquez nous la totalité de vos règles iptables.
Par contre, c'est une règle concernant le protocol HTTPS (port 443) en tant que serveur.
Voici ce qu j'ai mis chez moi t ça fonctionne :
J'ai indiqué que dans la raspberry, le VNC est un serveur.
Ce qui veut dire qu'il existe un client qui va interroger votre raspberry.
C'est pourquoi, j'ai placé en premier, le input.
Comme le flux est entrant, le port est à destination de la raspberry, d'où "dport".
Pour le flux sortant, c'est exactement l'inverse, d'où "sport".
Si VNC n'était pas un serveur mais un client, nous aurions pour le input, "sport" et pour le output, "dport".
Il faut faire attention au sens du flux !
@+
Oui, communiquez nous la totalité de vos règles iptables.
Ce n'est pas un règle pour le VNC car je ne vois pas le port 5900.Lokda a écrit :La règle VNC que j'utilise est:Code : Tout sélectionner
-A INPUT -p tcp --dport 443 -j ACCEPT
Par contre, c'est une règle concernant le protocol HTTPS (port 443) en tant que serveur.
Voici ce qu j'ai mis chez moi t ça fonctionne :
Code : Tout sélectionner
# ------------------------------------------ #
# Virtual Network Connection Viewer (Server) #
# ------------------------------------------ #
$iptv4 -A INPUT -p tcp --dport 5901:5902 -j ACCEPT
$iptv4 -A OUTPUT -p tcp --sport 5901:5902 -j ACCEPT
$iptv6 -A INPUT -p tcp --dport 5901:5902 -j ACCEPT
$iptv6 -A OUTPUT -p tcp --sport 5901:5902 -j ACCEPT
Ce qui veut dire qu'il existe un client qui va interroger votre raspberry.
C'est pourquoi, j'ai placé en premier, le input.
Comme le flux est entrant, le port est à destination de la raspberry, d'où "dport".
Pour le flux sortant, c'est exactement l'inverse, d'où "sport".
Si VNC n'était pas un serveur mais un client, nous aurions pour le input, "sport" et pour le output, "dport".
Il faut faire attention au sens du flux !
@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Re: Règles Iptables pour VNC
Bonjour.
Oui pardon, le port de ma règle est bien 5900 et pas 433 (j'ai édité mon premier post).
J'ajoute que je ne me connecte pas à un écran virtuel, mais bien à l'écran classique du Rpi, soit normalement, le display 0, ce qui devrait normalement être dispo sur le port 5900 non ?
Ensuite, la totalité de mes règles :
____________________________________________
-A INPUT -i lo0 -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp --dport 5900 -j ACCEPT
# Allow ping
#-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
_____________________________________________
Merci pour vos retours, je vais essayer tes règles Artemus24, j'éditerais mon post pour vous dire ce que ça donne.
Et merci pour les conseils
Edit: J'arrive à me connecter, avec les règles que tu as, mais une fois connecté, c'est freeze et au bout d'un certain temps je perds la connexion.
Edit 2: En essayant de configurer un autre port pour autre chose, je me suis rendu compte que dans ma première règle j'avais mis lo0 au lieu de lo, pour l'interface de loopback... Forcément maintenant, tout fonctionne correctement. Merci à vous !
Oui pardon, le port de ma règle est bien 5900 et pas 433 (j'ai édité mon premier post).
J'ajoute que je ne me connecte pas à un écran virtuel, mais bien à l'écran classique du Rpi, soit normalement, le display 0, ce qui devrait normalement être dispo sur le port 5900 non ?
Ensuite, la totalité de mes règles :
____________________________________________
-A INPUT -i lo0 -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp --dport 5900 -j ACCEPT
# Allow ping
#-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
_____________________________________________
Merci pour vos retours, je vais essayer tes règles Artemus24, j'éditerais mon post pour vous dire ce que ça donne.
Et merci pour les conseils
Edit: J'arrive à me connecter, avec les règles que tu as, mais une fois connecté, c'est freeze et au bout d'un certain temps je perds la connexion.
Edit 2: En essayant de configurer un autre port pour autre chose, je me suis rendu compte que dans ma première règle j'avais mis lo0 au lieu de lo, pour l'interface de loopback... Forcément maintenant, tout fonctionne correctement. Merci à vous !