Règles Iptables pour VNC

Le système préconisé par la Fondation Raspberry Pi

Modérateurs : Francois, maxty01

Répondre
Lokda
Messages : 2
Enregistré le : jeu. 13 févr. 2020 23:28

Règles Iptables pour VNC

Message par Lokda » jeu. 13 févr. 2020 23:39

Bonjour à tous.

Je suis en train de configurer mon premier RPI 4, et je n'arrive pas à faire une règle correcte pour iptables.

Lorsque je créé une table qui ouvre le port 5900, j'arrive à me connecté à VNC, l'écran de connexion du RPI s'affiche, puis, blocage. L'image reste figée, puis après un certain temps, j'ai une perte de connexion qui s'affiche.

La règle VNC que j'utilise est:
-A INPUT -p tcp --dport 5900 -j ACCEPT

Le reste de mes configurations est:
-A INPUT -i lo0 -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A OUTPUT -j ACCEPT

-A INPUT -p tcp -m state --state NEW --dport 22 -s 192.168.1.0/24 -j ACCEPT

# Allow ping
#-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

-A INPUT -j DROP
-A FORWARD -j DROP

Si vous avez une petite idée, je serais ravis de voir comment faire / et pourquoi.

Merci !
Modifié en dernier par Lokda le sam. 15 févr. 2020 17:34, modifié 1 fois.

maxty01
Modérateur
Messages : 734
Enregistré le : dim. 16 nov. 2014 20:53
Localisation : Charleroi - Belgique

Re: Règles Iptables pour VNC

Message par maxty01 » ven. 14 févr. 2020 00:37

Bonsoir,

Pouvez-vous nous donner toutes vos commandes iptables dans l'ordre.
L'ordre est important dans iptables.

Bonne soirée,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn

Artemus24
Raspinaute
Messages : 514
Enregistré le : ven. 15 sept. 2017 19:15

Re: Règles Iptables pour VNC

Message par Artemus24 » ven. 14 févr. 2020 20:03

Salut à tous.

Oui, communiquez nous la totalité de vos règles iptables.
Lokda a écrit :La règle VNC que j'utilise est:

Code : Tout sélectionner

-A INPUT -p tcp --dport 443 -j ACCEPT
Ce n'est pas un règle pour le VNC car je ne vois pas le port 5900.
Par contre, c'est une règle concernant le protocol HTTPS (port 443) en tant que serveur.

Voici ce qu j'ai mis chez moi t ça fonctionne :

Code : Tout sélectionner

	# ------------------------------------------ #
	# Virtual Network Connection Viewer (Server) #
	# ------------------------------------------ #

	$iptv4 -A  INPUT -p tcp --dport 5901:5902 -j ACCEPT
	$iptv4 -A OUTPUT -p tcp --sport 5901:5902 -j ACCEPT

	$iptv6 -A  INPUT -p tcp --dport 5901:5902 -j ACCEPT
	$iptv6 -A OUTPUT -p tcp --sport 5901:5902 -j ACCEPT
J'ai indiqué que dans la raspberry, le VNC est un serveur.
Ce qui veut dire qu'il existe un client qui va interroger votre raspberry.
C'est pourquoi, j'ai placé en premier, le input.
Comme le flux est entrant, le port est à destination de la raspberry, d'où "dport".
Pour le flux sortant, c'est exactement l'inverse, d'où "sport".

Si VNC n'était pas un serveur mais un client, nous aurions pour le input, "sport" et pour le output, "dport".
Il faut faire attention au sens du flux !

@+
--> RPi0v1.3, RPi0W, Rpi3A+, Rpi3B+
--> Rpi0WH + Tuner TV HAT
--> RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
--> RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB

Lokda
Messages : 2
Enregistré le : jeu. 13 févr. 2020 23:28

Re: Règles Iptables pour VNC

Message par Lokda » sam. 15 févr. 2020 17:33

Bonjour.

Oui pardon, le port de ma règle est bien 5900 et pas 433 (j'ai édité mon premier post).
J'ajoute que je ne me connecte pas à un écran virtuel, mais bien à l'écran classique du Rpi, soit normalement, le display 0, ce qui devrait normalement être dispo sur le port 5900 non ?

Ensuite, la totalité de mes règles :
____________________________________________
-A INPUT -i lo0 -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A OUTPUT -j ACCEPT

-A INPUT -p tcp -m state --state NEW --dport 22 -s 192.168.1.0/24 -j ACCEPT

-A INPUT -p tcp --dport 5900 -j ACCEPT

# Allow ping
#-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

-A INPUT -j DROP
-A FORWARD -j DROP
_____________________________________________

Merci pour vos retours, je vais essayer tes règles Artemus24, j'éditerais mon post pour vous dire ce que ça donne.
Et merci pour les conseils ;)

Edit: J'arrive à me connecter, avec les règles que tu as, mais une fois connecté, c'est freeze et au bout d'un certain temps je perds la connexion.

Edit 2: En essayant de configurer un autre port pour autre chose, je me suis rendu compte que dans ma première règle j'avais mis lo0 au lieu de lo, pour l'interface de loopback... Forcément maintenant, tout fonctionne correctement. Merci à vous !

Répondre

Retourner vers « Raspbian »