Jump to content

Archived

This topic is now archived and is closed to further replies.

ssc37

Probleme avec IPTABLES

Recommended Posts

j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir...

C'etait bien ton adresse ip et une machine M$ derriere ?

Share this post


Link to post
Share on other sites

la dernière ligne

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0  -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT

ça ne va pas bloquer ces lignes

# connexions connexions

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0  -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT

:love:

la personne venant du net ne pourra pas se connecter sur ces ports :D ( et donc pas acces au serveur web :incline: )

Share this post


Link to post
Share on other sites
j'ai pourtant mis 2-3 commentaires, et ca reste un script tres simple... Par contre, niveau securite il suffisant pour un lan comme tu dois avoir...

C'etait bien ton adresse ip et une machine M$ derriere ?

Il n'est peut être pas super complexe mais quand tu debutes tout te semble l'être :yes: suffit juste que je me penche encore sur les docs quelques temps pour bien assimiler le truc et après ca ira tout seul

Et oui c'est bien mon adresse ip et une machine M$ derriere

Share this post


Link to post
Share on other sites

a personne venant du net ne pourra pas se connecter sur ces ports  ( et donc pas acces au serveur web  )

oui c'est vrai dark, mais apres tu peux specifier une option en disant

--dport ! <ton port apache> en entree

--sport ! <ton port apache> en emission

et dans ce cas,n c'est une exception pour ces ports la, du coup, seul un port particulier ( en general 2, le port apache, et le port ssh ) acceptent les connexions de l'exterieur.

Et oui c'est bien mon adresse ip et une machine M$ derriere

Tres vulnerable elle est. beaucoup de ports dangereux ouverts :francais:

Share this post


Link to post
Share on other sites
Tres vulnerable elle est. beaucoup de ports dangereux ouverts :ouioui:

Bah merci le script que j'ai utilisé en atendant de mieux comprendre :D

et pour

oui c'est vrai dark, mais apres tu peux specifier une option en disant

--dport ! <ton port apache> en entree

--sport ! <ton port apache> en emission

Y'a moyen d'avoir un exemple expliqué pour que je comprenne un peu plus stp :francais: car je vois pas trop ce que ca donnerai en concret :-D

Vivement l'article que j'arrete de vous saouler :ouioui:

Share this post


Link to post
Share on other sites

aucune paque ne peut rentrer si ce n'est pas une reponse a un paquet que l'on a emis, exception faite sur le port 1911 ( disons que apache tourne sur le port 1911 ) :

iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0  -p all -m --sport !1911 state --state ! INVALID -j ACCEPT

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0  -d <adresse ip sur internet> -p all -m --dport !1911 state --state RELATED --state ESTABLISHED -j ACCEPT

Tous les packets entrant ou sortant sur le port 1911, protocole tcp/ip autorises :

iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0  -p tcp --sport 1911 -j ACCEPT

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0  -d <adresse ip sur internet> -p tcp --dport 1911 -j ACCEPT

Pour etre vraiment puriste, il faudrait refuser les paquets entrant sur le port 1911 par le protocole udp :

iptables -t filter -A OUTPUT -o ppp0 -s <adresse ip sur internet> -d 0.0.0.0/0  -p udp --sport 1911 -m state --state ! INVALID -j ACCEPT

iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0  -d <adresse ip sur internet> -p udp --dport 1911 -m state --state RELATED --state ESTABLISHED -j ACCEPT

( sauf erreur de ma part )

Share this post


Link to post
Share on other sites

comment qu'ils se compliquent la vie

de tête :

iptables -P INPUT DROP
iptables -A INPUT -i ppp0 -d <ip> --d-port 1911  # ici le INPUT
iptables -A -t nat - ... # ici le DNAT

iptables -P FORWARD DROP
iptables -A FORWARD -i ppp0 state -state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT

rien ne rentre sauf ce qui doit être NATé vers un serveur

rien venant de l'extérieur ne traverse sauf si c'est d'une connexion déjà établie

tout ce qui vient de l'interne sort ...

Share this post


Link to post
Share on other sites

oui, mais la c'est juste du forward sur le lan, ton serveur n'est pas vraiment protege, un bon nmap avec des options de sioux et on peut lire tes ports ouverts sur le serveur. Pas assez securise a mon gout.

Share this post


Link to post
Share on other sites

???

crois moi j'en ai fait des nmap -O -P0 -sS -p 1-65535 , et j'ai pas grand chose d'ouvert : seulement les ports que je forward explicitement ...

Share this post


Link to post
Share on other sites

Enfin c'est vrai tu peux toujours rajouter du rate limit pour les scan ...

d'ailleurs me tate entre un -P DROP (la machine ne répond pas. Point) ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ...

Share this post


Link to post
Share on other sites

-p 1-65536 :francais: tu laisse tourner ca 2 jours ??? :ouioui:

ou -P REJECT qui renvoie un ICMP disant host-unreachable, qui fait croire qu'il n'y a pas de machine ...

oui mais comment ca marche en cas de -sN ?

Share this post


Link to post
Share on other sites

:duel1:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

moi j'ai ça au milieu :keskidit:

+ les ports ouvets pour apache, smtp......

Share this post


Link to post
Share on other sites
-p 1-65536 :duel1: tu laisse tourner ca 2 jours ??? :mdr2:

nan mossieur, je paralélise et j'ai un gros tuyau (me faut pile 100s pour downloader le bz2 de 2.6.8.1, et c'est une connexion symétrique :)

moi je préfère ce duel là : :keskidit:

Share this post


Link to post
Share on other sites
voici un exemple de script tout simple pour un lan 192.168.1.0 pour sortir sur un =modem ppp0, je ferai un article detaille plus tard.

J'ai une question par apport au script qui suis car je ne comprend pas quelques trucs :yes:

#!/bin/sh
#

#-----------------------------------
#
#  Initialization
# by default, everything is dropped
#-----------------------------------

iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

#--------------------
#
#  Loopback
#
#--------------------

iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

#------------------------
#
#  Local Area Network
#  everything is allowed
#------------------------

iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT

#------------------------------------------
# HTTP (80/TCP)
# HTTPS (443/TCP)
#------------------------------------------

# connexions sortantes

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 443 -j ACCEPT

# connexions connexions

iptables -t filter -A INPUT  -i eth0 -s 0.0.0.0/0  -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --sport 443 -j ACCEPT

# forward packet from modem to lan interface

iptables -t filter -A FORWARD  -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A FORWARD  -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -j ACCEPT

# Masqeurade all packets from lan to internet

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

#------ conn track, bye motherfuckers !

#iptables -t filter -A OUTPUT -o eth0 -s <adresse ip sur internet> -d 0.0.0.0/0  -p all -m state --state ! INVALID -j ACCEPT
#iptables -t filter -A INPUT  -i eth0 -s 0.0.0.0/0  -d <adresse ip sur internet> -p all -m state --state RELATED --state ESTABLISHED -j ACCEPT

Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non? :francais:

Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours? :yes:

#------------------------------------------
# HTTP (80/TCP)
# HTTPS (443/TCP)
#------------------------------------------

# connexions sortantes

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 443 -j ACCEPT

Share this post


Link to post
Share on other sites

Si je ne me trompe pas il devrait y avoir que les paquet avec pour protocole 80 et 443 qui devraient passés non?

oui, et c'est ce qui se passe. ( essaies un ftp et tu verras... :yes: )

Si je ne me trompe pas pourquoi quand je commente ces lignes ca passe toujours?

Parce que ces lignes viennent en renfort des premieres pour dire qu'on accepte pas les connexions venant de l'exterieur. Donc les supprimer affaiblit juste ton firewall, mais il reste du niveau de 90% des firewall.... C'est juste que ta machine devient visible sur le net, et en connaissant bien la securite reseau, on peut determiner certaines choses sur ta machines ( os, type de firewall etc...)

D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable.

Share this post


Link to post
Share on other sites
D'ailleurs, en y repensant, dans l'exemple du script que je t'ai donne, cela n'est pas indispensable.

Pourquoi les mettres alors? :D

Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port?

Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la:

#------------------------
#
#  Local Area Network
#  everything is allowed
#------------------------

iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT

et de la ces lignes la devienent nécéssaires c'est bien ca?

#------------------------------------------
# HTTP (80/TCP)
# HTTPS (443/TCP)
#------------------------------------------

# connexions sortantes

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 443 -j ACCEPT

Share this post


Link to post
Share on other sites
Pourquoi les mettres alors? :D

Dans le script que tu m'as filé on accepte tout ce qui sort du lan, est-ce que un trojan pourais sorti et ouvrir un port?

Sinon si je veux tout fermer en sortant et ouvrir juste ce que je veux je commente ces lignes la:

#------------------------
#
#  Local Area Network
#  everything is allowed
#------------------------

iptables -t filter -A OUTPUT -o eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i eth1 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT

:byebye: c'est pas du code de remy, ça...

lui, c'était eth0, et pas eth1...

(mine de rien, ça change tout !)

et de la ces lignes la devienent nécéssaires c'est bien ca?

#------------------------------------------
# HTTP (80/TCP)
# HTTPS (443/TCP)
#------------------------------------------

# connexions sortantes

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 443 -j ACCEPT

ben là...ça a plus rien à voir... pas la même interface, là c'est que output, alors que l'autre y'a imput...

Share this post


Link to post
Share on other sites
:byebye: c'est pas du code de remy, ça...

lui, c'était eth0, et pas eth1...

(mine de rien, ça change tout !)

Normal que c'est pas la meme interface vu que c'est son script que j'ai adapté à ma config pour tester :D

eth0 => routeur bewan cx

eth1 local lan

Share this post


Link to post
Share on other sites

Pourquoi les mettres alors?

je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee...

areil que l'autre thread

fwbuilder

non, vi iptables.sh

au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui)

Share this post


Link to post
Share on other sites

je te rappelles que je n'avais pas trop le temps d regarder ton truc vu que j'etais deborde, mais vu comment tu insistais et que tu galerais, j'ai couche qq lignes vite fait et voila, a la volee...

non, vi iptables.sh

au moins tu sais ce que tu fais. Comme l'autre thread, si vous voulez des trucs tout automatise, installez windaube. ( dsl je suis de tres mauvaise humeur aujourd'hui)

lol non mais le prend pas comme ca si on peut meme plus sortir des conneries :-D !!

Et desolé d'insister pour comprendre tu as peut être raison je ferais mieux de rester sous windaube!! :D J'implore ton pardon de ne pas tout comprendre en 2sc :byebye:

Et pour le mauvaise humeur on a remarqué :D

Et si quelqu'un veut bien m'expliquer en 2-3 mot ce qu'est le fwbuilder que je comprenne la reaction de remy ca serait cool :yes:

Share this post


Link to post
Share on other sites
p'tin faut tout faire ici :)

http://www.fwbuilder.org/

:D merci pour l'image lol mais de tout façon je reste en mode console pour le moment j'ai pas envie d'apprendre en touchant à une interface graphiquye qui fait tout à ma place :byebye:

Share this post


Link to post
Share on other sites

×
×
  • Create New...