Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1057 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Iptable sur mesure pour petit nouveau :)

 
 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Iptable sur mesure pour petit nouveau :)

n°1376741
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-05-2015 à 18:54:05  profilanswer
 
Voir ce message dans le sujet non filtré
 

ludo1c2 a écrit :

#!/bin/bash

 

iptables -t filter -F
iptables -t filter -X

 


# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

 


# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Ne pas casser les connexions etablies
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

 

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT

 

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

 

# Serveur NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

 

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

 

# Interdire ping
iptables -t filter -A INPUT -p icmp -j  DROP
iptables -t filter -A OUTPUT -p icmp -j DROP

 


# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

 


# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 


# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# SMTPS
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# IMAPS
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT


Il est pas top jeu de règle là:
- tu as commentés la gestion des connexions, donc tu seras en stateless
- derrière, je sais pas si c'est volontaire ou non, tu ouvres en input et output tous tes flux, sauf que ça correspond pas au flux retour (le port est toujours en destination.
   - c'est pour l'hébergement de serveur smtp/imap/web/etc... ? dans ce cas vu que tes policy sont à drops et que t'as pas de stateful => ça marchera pas
   - c'est pour la gestion des flux retour ? dans ce idem, ça marchera car pas stateful, policy à drop et pas de règle pour gérer
(En fait, si tu l'as dans ton bloc ftp, mais je suppose que c'était uniquement pour les connexions subséquentes du ftp.

 

- tu interdis l'icmp pour interdire le ping... sauf que l'icmp c'est pas que du ping, c'est tout ce qui gère IP en général. Donc bye les messages d'erreurs standard. le ping c'est juste deux types de paquests icmp. Si tu veux interdire uniquement le ping, utilise les bonnes options

 


Bef, ça sent le jeu de règle jeté vite fait sans vraiment avoir conscience de ce qu'il fait réellement, ce qui est tout sauf une best practice en sécurité.


Message édité par o'gure le 14-05-2015 à 18:59:38

---------------
Relax. Take a deep breath !
mood
Publicité
Posté le 14-05-2015 à 18:54:05  profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Iptable sur mesure pour petit nouveau :)

 

Sujets relatifs
Nouveau projet : XEN / FREENAS / XBMC / S.A.R.A.H.nouveau dans l'alternative
[XPS 13] Xunbuntu-Windows 8.1-Nouveau BIOSpetit problème de son
[FYI] pour les adeptes de mini-ordis.. le nouveau cubox-i[Resolu] exclure une ip d'un routage iptable
Un petit serveur de fichier en WIFIpetit script de substitution
a quand un nouveau logo? 
Plus de sujets relatifs à : Iptable sur mesure pour petit nouveau :)

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.042 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR