Alors voilà, il y a quelques temps, bénéficiant d'un Raspberry Pi, je me suis monté une passerelle Firewall+Privoxy, avec option TOR, fonctionnant très bien (PC --> RPI --> box). Cependant, j'ai du refaire mes config il a peu, et impossible de retrouver mon accès à Tor !
Ne m'étant pas penché dessus depuis quelques temps, je pense que ma problématique vient de mon firewall dont le listing se trouve ci-dessous. A savoir, wlan0 = PC--> RPI et eth0 = RPI --> box. Aussi, ma config privoxy est bien configurée pour un forward vers le 127.0.0.1:9050 . et écoute bien le 8119 de wlan0. De même, la configuration de TOR est restée par défaut, donc bien en écoute sur le 127.0.0.1:9050
#!/bin/bash
# run this script as sudo #
# DISABLE IPv6 #
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6
# flush filters & user rules #
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Total Flush & delete user rules #
iptables -F
iptables -X
# Default : DROP ALL #
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#POSTROUTING#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#ENABLE ESTABLISHED AND RELATED CONEXIONS#
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ALLOW LOCAL LOOP#
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
#FRAG# Refus des paquets fragmentés (SERVER PANIC & DATA LOSS)
iptables -A INPUT -f -j DROP
#XMAS & NULL#
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
#SYN-FIN + NMAP-XMAS + FIN + NMAP ID + SYN-RST#
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL URG,PSH,SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#ICMP#
iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -p icmp -m state --state NEW -j ACCEPT
#DNS#
iptables -A FORWARD -i wlan0 -o eth0 -p udp --dport 53 --sport 1024:65535 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 --sport 1024:65535 -m state --state NEW -j ACCEPT
#HTTPS-SSL#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 443 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#PRIVOXY / PRIVOXY+TOR#
iptables -A INPUT -i wlan0 -p tcp --dport 8118 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --dport 8119 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#HTTP#
iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 --sport 1024:65535 --syn -m state --state NEW -j REDIRECT --to-port 8118
iptables -A OUTPUT -p tcp --dport 80 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#FTP (include FTP-DATA port 20 with RELATED option)#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 21 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#SSH#
iptables -A INPUT -p tcp --dport 22 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 22 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#POP3-TLS#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 110 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#POP3-SSL#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 995 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 995 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#IMAP-TLS#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 143 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 143 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#IMAP-SSL#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 993 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 993 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#SMTP#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 25 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#SMTP-BIS#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 2525 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2525 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#SMTP-TLS#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 587 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 587 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#SMTP-SSL#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 465 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 465 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
#TRANSMISSION#
iptables -A FORWARD -i wlan0 -o eth0 -p tcp --dport 51413 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5413 --sport 1024:65535 --syn -m state --state NEW -j ACCEPT
exit 0
Mais quand je relis mon firewall, je ne vois pourtant rien qui pêche... Une idée ?
Merci d'avance.
Réglages firewall pour accès Privoxy + Tor
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
