1059 connectés

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Iptable sur mesure pour petit nouveau :)

Recherche :

Dernière réponse
Sujet : Iptable sur mesure pour petit nouveau :)
sapiens40	merci pour vos réponses je vais garder la config. par défaut pour le moment. merci o'gure pour le mal que tu t'est donné;

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

sapiens40

merci pour vos réponses je vais garder la config. par défaut pour le moment.

merci o'gure pour le mal que tu t'est donné;

o'gure

ludo1c2 a écrit :

#!/bin/bash

iptables -t filter -F
iptables -t filter -X

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Ne pas casser les connexions etablies
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

# Serveur NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Interdire ping
iptables -t filter -A INPUT -p icmp -j DROP
iptables -t filter -A OUTPUT -p icmp -j DROP

# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# SMTPS
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# IMAPS
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT

Il est pas top jeu de règle là:
- tu as commentés la gestion des connexions, donc tu seras en stateless
- derrière, je sais pas si c'est volontaire ou non, tu ouvres en input et output tous tes flux, sauf que ça correspond pas au flux retour (le port est toujours en destination.
- c'est pour l'hébergement de serveur smtp/imap/web/etc... ? dans ce cas vu que tes policy sont à drops et que t'as pas de stateful => ça marchera pas
- c'est pour la gestion des flux retour ? dans ce idem, ça marchera car pas stateful, policy à drop et pas de règle pour gérer
(En fait, si tu l'as dans ton bloc ftp, mais je suppose que c'était uniquement pour les connexions subséquentes du ftp.

- tu interdis l'icmp pour interdire le ping... sauf que l'icmp c'est pas que du ping, c'est tout ce qui gère IP en général. Donc bye les messages d'erreurs standard. le ping c'est juste deux types de paquests icmp. Si tu veux interdire uniquement le ping, utilise les bonnes options

Bef, ça sent le jeu de règle jeté vite fait sans vraiment avoir conscience de ce qu'il fait réellement, ce qui est tout sauf une best practice en sécurité.

ludo1c2

#!/bin/bash

iptables -t filter -F
iptables -t filter -X

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Ne pas casser les connexions etablies
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

# Serveur NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Interdire ping
iptables -t filter -A INPUT -p icmp -j DROP
iptables -t filter -A OUTPUT -p icmp -j DROP

# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# SMTPS
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# IMAPS
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT

doublebeurre

En general un iptables de base marche de la facon suivante:

- par defaut, les inputs sont bloquees (on peut pas se connecter a ta machine)
- par defaut, les outputs sont bloquees
- les inputs corresondants a une requetes que tu as faite, peuvent revenir.

C'est suffisant. Si tu cherches iptables pour Ubuntu tu trouveras les exemples, ca tient en 4 ou 5 lignes.

sapiens40

Bonjour à la communauté:)

N'ayant pas assez de connaissances réseaux et iptables, je voudrais bien que quelqu'un m'aide pour faire une iptable correspondant à mes besoins que je vais vous donner ci-dessous :

Construire mon iptable avec ufw sous Ubuntu 14,04 lts, (si s'est le plus simple ?), sinon me faire un fichier et me dire a quel endroit je dois le mettre et comment ?

Laisser l'accès aux sites https. Pour consulter mes sites sécurisé (banque, impôts ...)
Laisser l'accès a Evolution pour lire mes mail.
Et bien sur laisser l'accès aux mises a jours système.

Bloquer tout le reste si s'est possible ? Pour éviter des intrusions.

Je compte ne me servir d'Ubuntu que pour mes données personnelles.

Merci d'avance.