Posté(e) le 15 août 200420 a j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir... C'etait bien ton adresse ip et une machine M$ derriere ?
Posté(e) le 16 août 200420 a la dernière ligne iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT ça ne va pas bloquer ces lignes # connexions connexionsiptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT la personne venant du net ne pourra pas se connecter sur ces ports ( et donc pas acces au serveur web )
Posté(e) le 16 août 200420 a Auteur j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir... C'etait bien ton adresse ip et une machine M$ derriere ? Il n'est peut être pas super complexe mais quand tu debutes tout te semble l'être suffit juste que je me penche encore sur les docs quelques temps pour bien assimiler le truc et après ca ira tout seul Et oui c'est bien mon adresse ip et une machine M$ derriere
Posté(e) le 16 août 200420 a a personne venant du net ne pourra pas se connecter sur ces ports ( et donc pas acces au serveur web ) oui c'est vrai dark, mais apres tu peux specifier une option en disant --dport ! <ton port apache> en entree --sport ! <ton port apache> en emission et dans ce cas,n c'est une exception pour ces ports la, du coup, seul un port particulier ( en general 2, le port apache, et le port ssh ) acceptent les connexions de l'exterieur. Et oui c'est bien mon adresse ip et une machine M$ derriere Tres vulnerable elle est. beaucoup de ports dangereux ouverts
Posté(e) le 16 août 200420 a Auteur Tres vulnerable elle est. beaucoup de ports dangereux ouverts Bah merci le script que j'ai utilisé en atendant de mieux comprendre et pour oui c'est vrai dark, mais apres tu peux specifier une option en disant --dport ! <ton port apache> en entree --sport ! <ton port apache> en emission Y'a moyen d'avoir un exemple expliqué pour que je comprenne un peu plus stp car je vois pas trop ce que ca donnerai en concret Vivement l'article que j'arrete de vous saouler
Posté(e) le 16 août 200420 a aucune paque ne peut rentrer si ce n'est pas une reponse a un paquet que l'on a emis, exception faite sur le port 1911 ( disons que apache tourne sur le port 1911 ) : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p all -m --sport !1911 state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m --dport !1911 state --state RELATED --state ESTABLISHED -j ACCEPT Tous les packets entrant ou sortant sur le port 1911, protocole tcp/ip autorises : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p tcp --sport 1911 -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p tcp --dport 1911 -j ACCEPT Pour etre vraiment puriste, il faudrait refuser les paquets entrant sur le port 1911 par le protocole udp : iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p udp --sport 1911 -m state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p udp --dport 1911 -m state --state RELATED --state ESTABLISHED -j ACCEPT ( sauf erreur de ma part )
Posté(e) le 16 août 200420 a comment qu'ils se compliquent la vie de tête : iptables -P INPUT DROP iptables -A INPUT -i ppp0 -d <ip> --d-port 1911 # ici le INPUT iptables -A -t nat - ... # ici le DNAT iptables -P FORWARD DROP iptables -A FORWARD -i ppp0 state -state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT rien ne rentre sauf ce qui doit être NATé vers un serveur rien venant de l'extérieur ne traverse sauf si c'est d'une connexion déjà établie tout ce qui vient de l'interne sort ...
Posté(e) le 16 août 200420 a oui, mais la c'est juste du forward sur le lan, ton serveur n'est pas vraiment protege, un bon nmap avec des options de sioux et on peut lire tes ports ouverts sur le serveur. Pas assez securise a mon gout.
Posté(e) le 16 août 200420 a ??? crois moi j'en ai fait des nmap -O -P0 -sS -p 1-65535 , et j'ai pas grand chose d'ouvert : seulement les ports que je forward explicitement ...
Posté(e) le 16 août 200420 a Enfin c'est vrai tu peux toujours rajouter du rate limit pour les scan ... d'ailleurs me tate entre un -P DROP (la machine ne répond pas. Point) ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ...
Posté(e) le 16 août 200420 a -p 1-65536 tu laisse tourner ca 2 jours ??? ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ... oui mais comment ca marche en cas de -sN ?
Posté(e) le 16 août 200420 a iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT moi j'ai ça au milieu + les ports ouvets pour apache, smtp......
Posté(e) le 16 août 200420 a -p 1-65536 tu laisse tourner ca 2 jours ??? nan mossieur, je paralélise et j'ai un gros tuyau (me faut pile 100s pour downloader le bz2 de 2.6.8.1, et c'est une connexion symétrique :) moi je préfère ce duel là :
Posté(e) le 17 août 200420 a Auteur voici un exemple de script tout simple pour un lan 192.168.1.0 pour sortir sur un =modem ppp0, je ferai un article detaille plus tard. J'ai une question par apport au script qui suis car je ne comprend pas quelques trucs #!/bin/sh # #----------------------------------- # # Initialization # by default, everything is dropped #----------------------------------- iptables -t filter -F iptables -t filter -X iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP #-------------------- # # Loopback # #-------------------- iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT # connexions connexions iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT # forward packet from modem to lan interface iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -j ACCEPT # Masqeurade all packets from lan to internet iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #------ conn track, bye motherfuckers ! #iptables -t filter -A OUTPUT -o eth0 -s <adresse ip sur internet> -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT #iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non? Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
Posté(e) le 17 août 200420 a Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non? oui, et c'est ce qui se passe. ( essaies un ftp et tu verras... ) Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours? Parce que ces lignes viennent en renfort des premieres pour dire qu'on accepte pas les connexions venant de l'exterieur. Donc les supprimer affaiblit juste ton firewall, mais il reste du niveau de 90% des firewall.... C'est juste que ta machine devient visible sur le net, et en connaissant bien la securite reseau, on peut determiner certaines choses sur ta machines ( os, type de firewall etc...) D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable.
Posté(e) le 18 août 200420 a Auteur D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable. Pourquoi les mettres alors? Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port? Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la: #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT et de la ces lignes la devienent nécéssaires c'est bien ca? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
Posté(e) le 18 août 200420 a Pourquoi les mettres alors? Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port? Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la: #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT c'est pas du code de remy, ça... lui, c'était eth0, et pas eth1... (mine de rien, ça change tout !) et de la ces lignes la devienent nécéssaires c'est bien ca? #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT ben là...ça a plus rien à voir... pas la même interface, là c'est que output, alors que l'autre y'a imput...
Posté(e) le 18 août 200420 a Auteur c'est pas du code de remy, ça...lui, c'était eth0, et pas eth1... (mine de rien, ça change tout !) Normal que c'est pas la meme interface vu que c'est son script que j'ai adapté à ma config pour tester eth0 => routeur bewan cx eth1 local lan
Posté(e) le 18 août 200420 a Pourquoi les mettres alors? je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee... areil que l'autre thread fwbuilder non, vi iptables.sh au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui)
Posté(e) le 18 août 200420 a Auteur je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee... non, vi iptables.sh au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui) lol non mais le prend pas comme ca si on peut meme plus sortir des conneries !! Et desolé d'insister pour comprendre tu as peut être raison je ferais mieux de rester sous windaube!! J'implore ton pardon de ne pas tout comprendre en 2sc Et pour le mauvaise humeur on a remarqué Et si quelqu'un veut bien m'expliquer en 2-3 mot ce qu'est le fwbuilder que je comprenne la reaction de remy ca serait cool
Posté(e) le 18 août 200420 a Auteur p'tin faut tout faire ici :)http://www.fwbuilder.org/ merci pour l'image lol mais de tout façon je reste en mode console pour le moment j'ai pas envie d'apprendre en touchant à une interface graphiquye qui fait tout à ma place Modifié le 18 août 200420 a par ssc37
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.