-rem- Posté(e) le 15 août 2004 Partager Posté(e) le 15 août 2004 j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir... C'etait bien ton adresse ip et une machine M$ derriere ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 la dernière ligne iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT ça ne va pas bloquer ces lignes # connexions connexionsiptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT la personne venant du net ne pourra pas se connecter sur ces ports ( et donc pas acces au serveur web ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 16 août 2004 Auteur Partager Posté(e) le 16 août 2004 j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir... C'etait bien ton adresse ip et une machine M$ derriere ? Il n'est peut être pas super complexe mais quand tu debutes tout te semble l'être suffit juste que je me penche encore sur les docs quelques temps pour bien assimiler le truc et après ca ira tout seul Et oui c'est bien mon adresse ip et une machine M$ derriere Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 a personne venant du net ne pourra pas se connecter sur ces ports ( et donc pas acces au serveur web ) oui c'est vrai dark, mais apres tu peux specifier une option en disant --dport ! <ton port apache> en entree --sport ! <ton port apache> en emission et dans ce cas,n c'est une exception pour ces ports la, du coup, seul un port particulier ( en general 2, le port apache, et le port ssh ) acceptent les connexions de l'exterieur. Et oui c'est bien mon adresse ip et une machine M$ derriere Tres vulnerable elle est. beaucoup de ports dangereux ouverts Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 16 août 2004 Auteur Partager Posté(e) le 16 août 2004 Tres vulnerable elle est. beaucoup de ports dangereux ouverts Bah merci le script que j'ai utilisé en atendant de mieux comprendre et pour oui c'est vrai dark, mais apres tu peux specifier une option en disant --dport ! <ton port apache> en entree --sport ! <ton port apache> en emission Y'a moyen d'avoir un exemple expliqué pour que je comprenne un peu plus stp car je vois pas trop ce que ca donnerai en concret Vivement l'article que j'arrete de vous saouler Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 aucune paque ne peut rentrer si ce n'est pas une reponse a un paquet que l'on a emis, exception faite sur le port 1911 ( disons que apache tourne sur le port 1911 ) : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p all -m --sport !1911 state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m --dport !1911 state --state RELATED --state ESTABLISHED -j ACCEPT Tous les packets entrant ou sortant sur le port 1911, protocole tcp/ip autorises : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p tcp --sport 1911 -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p tcp --dport 1911 -j ACCEPT Pour etre vraiment puriste, il faudrait refuser les paquets entrant sur le port 1911 par le protocole udp : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p udp --sport 1911 -m state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p udp --dport 1911 -m state --state RELATED --state ESTABLISHED -j ACCEPT ( sauf erreur de ma part ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 comment qu'ils se compliquent la vie de tête : iptables -P INPUT DROP iptables -A INPUT -i ppp0 -d <ip> --d-port 1911 # ici le INPUT iptables -A -t nat - ... # ici le DNAT iptables -P FORWARD DROP iptables -A FORWARD -i ppp0 state -state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT rien ne rentre sauf ce qui doit être NATé vers un serveur rien venant de l'extérieur ne traverse sauf si c'est d'une connexion déjà établie tout ce qui vient de l'interne sort ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 oui, mais la c'est juste du forward sur le lan, ton serveur n'est pas vraiment protege, un bon nmap avec des options de sioux et on peut lire tes ports ouverts sur le serveur. Pas assez securise a mon gout. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 ??? crois moi j'en ai fait des nmap -O -P0 -sS -p 1-65535 , et j'ai pas grand chose d'ouvert : seulement les ports que je forward explicitement ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 Enfin c'est vrai tu peux toujours rajouter du rate limit pour les scan ... d'ailleurs me tate entre un -P DROP (la machine ne répond pas. Point) ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 -p 1-65536 tu laisse tourner ca 2 jours ??? ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ... oui mais comment ca marche en cas de -sN ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT moi j'ai ça au milieu + les ports ouvets pour apache, smtp...... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 16 août 2004 Auteur Partager Posté(e) le 16 août 2004 <=== a du mal à suivre mais bon interessant tout de même Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 16 août 2004 Partager Posté(e) le 16 août 2004 -p 1-65536 tu laisse tourner ca 2 jours ??? nan mossieur, je paralélise et j'ai un gros tuyau (me faut pile 100s pour downloader le bz2 de 2.6.8.1, et c'est une connexion symétrique :) moi je préfère ce duel là : Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 17 août 2004 Auteur Partager Posté(e) le 17 août 2004 voici un exemple de script tout simple pour un lan 192.168.1.0 pour sortir sur un =modem ppp0, je ferai un article detaille plus tard. J'ai une question par apport au script qui suis car je ne comprend pas quelques trucs #!/bin/sh # #----------------------------------- # # Initialization # by default, everything is dropped #----------------------------------- iptables -t filter -F iptables -t filter -X iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP #-------------------- # # Loopback # #-------------------- iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT # connexions connexions iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT # forward packet from modem to lan interface iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -j ACCEPT # Masqeurade all packets from lan to internet iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #------ conn track, bye motherfuckers ! #iptables -t filter -A OUTPUT -o eth0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT #iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non? Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 17 août 2004 Partager Posté(e) le 17 août 2004 Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non? oui, et c'est ce qui se passe. ( essaies un ftp et tu verras... ) Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours? Parce que ces lignes viennent en renfort des premieres pour dire qu'on accepte pas les connexions venant de l'exterieur. Donc les supprimer affaiblit juste ton firewall, mais il reste du niveau de 90% des firewall.... C'est juste que ta machine devient visible sur le net, et en connaissant bien la securite reseau, on peut determiner certaines choses sur ta machines ( os, type de firewall etc...) D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable. Pourquoi les mettres alors? Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port? Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la: #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT et de la ces lignes la devienent nécéssaires c'est bien ca? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT Lien vers le commentaire Partager sur d’autres sites More sharing options...
tuXXX Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Pourquoi les mettres alors? Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port? Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la: #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT c'est pas du code de remy, ça... lui, c'était eth0, et pas eth1... (mine de rien, ça change tout !) et de la ces lignes la devienent nécéssaires c'est bien ca? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT ben là...ça a plus rien à voir... pas la même interface, là c'est que output, alors que l'autre y'a imput... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 c'est pas du code de remy, ça...lui, c'était eth0, et pas eth1... (mine de rien, ça change tout !) Normal que c'est pas la meme interface vu que c'est son script que j'ai adapté à ma config pour tester eth0 => routeur bewan cx eth1 local lan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 pareil que l'autre thread fwbuilder Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Pourquoi les mettres alors? je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee... areil que l'autre thread fwbuilder non, vi iptables.sh au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui) Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 pareil que l'autre threadfwbuilder késako? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 p'tin faut tout faire ici :) http://www.fwbuilder.org/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee... non, vi iptables.sh au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui) lol non mais le prend pas comme ca si on peut meme plus sortir des conneries !! Et desolé d'insister pour comprendre tu as peut être raison je ferais mieux de rester sous windaube!! J'implore ton pardon de ne pas tout comprendre en 2sc Et pour le mauvaise humeur on a remarqué Et si quelqu'un veut bien m'expliquer en 2-3 mot ce qu'est le fwbuilder que je comprenne la reaction de remy ca serait cool Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 p'tin faut tout faire ici :)http://www.fwbuilder.org/ merci pour l'image lol mais de tout façon je reste en mode console pour le moment j'ai pas envie d'apprendre en touchant à une interface graphiquye qui fait tout à ma place Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.