Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 regarde les images que j'ai mis après fwbuilder convertit ça 1 POUR 1 en règles iptables. Pas besoin de s'emmerder avec un vi, désolé, ça MARCHE (en plus c'est compatible avec d'autres firewalls, dont les PIX de chez Cisco ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
green Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Perso, j'utilise guarddog qui est très convivial et très bien pour un ignare comme moi ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 oui, sauf que du coup tu ne sais meme pas comment ca marche quand tu utilises ca ( bon toi je me doute que tu sais faire le script iptables avec vi mais bon...). Pour moi, un linux, ca s'adminsitre avec Vi, si on prefere l'adminsitrer avec des GUI tout pleins de deco, c'est ici que ca ce passe. D'ailleurs, aucun de nos serveurs n'a de serveur ou d'interfaces graphique chez nous, c'est allourdir inutilement une machine, qui n'a pas d'ecran de tout maniere. Donc, il ne reste que Vi ( ou nano ... ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 "Stay flexible, gentleman" Quand un gars pétouille merdouille pendant des heures et commence à taper tout et n'importe quoi sous vi (je ne vise personne mais c'est l'impression que ça donne, au bout de 50 posts ), vaut peut-être mieux qu'à un instant t, il arrête les conneries, il prend un outil pour reconstruire un truc de référence qu'il analyse, qu'il comprend et dont il se sert de base pour repartir sur quelque chose de sain. A côté de ça, je te rassure, ici en interne on gère ~9000 règles de firewalls Linux, à part l'interface de demande réservée au grand public, tout est en mode texte par ssh interposés. On améliore un peu avec un base de données, une interface PHP et une diffusion centralisée par cfengine, mais ça reste des scripts PERL qui interprètent des fichiers textes pour faire de l'iptable. Lien vers le commentaire Partager sur d’autres sites More sharing options...
tuXXX Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Vaut mieux un bon script généré automatiquement par un gui qu'un script tout pourri fait à la main... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arofarn Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Le tout vi, c'est bien pour quelqu'un qui sais dans quoi il mets les pieds. On ne peut pas demander à tout le monde de rester en console pour faire touner un PC personelle (belle redondance au passage) de quelqu'un souhaitant s'affranchir du monople de M$. Quitter M$, ne veux pas dire forcément qu'on a horreur des clicodromes. Et les besoins d'un particulier et d'un professionnel en terme d'ergonomie et de stabilité sont pas les même je pense. Ta mauvaise humeur pourrait laisser penser qu'il vaut mieux rester sous windows que de faire un "startx" Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 non non, ce n'est pas ce que je voulais dire, maisje veux juste dire que sous linux, il faut faire des efforts et mettre les mains dans le cambouis, pour l'apprecier pleinement. Mais le firewall est regle sur les routeurs/firewall pas sur les workstations.... "Stay flexible, gentleman" perl Vaut mieux un bon script généré automatiquement par un gui qu'un script tout pourri fait à la main... Vaut mieux un bon script fait a la main qu'un script tout pourri genere par une gui... Lien vers le commentaire Partager sur d’autres sites More sharing options...
tuXXX Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 et tu qualifirais comment le script de ssc37? Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 et tu qualifirais comment le script de ssc37? de pourri bien sur! vu qu'il protege rien.... Mais comment veux tu que je sorte un script béton en debutant dans le truc? A en écouter certains tout se fait en un jour !!! Franchement changez le titre du forum car il va pas avec la mentalité de certains! Si tu ne sais pas : demande, si tu sais : partage ! pffff..... Lien vers le commentaire Partager sur d’autres sites More sharing options...
tuXXX Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 de pourri bien sur! vu qu'il protege rien....Mais comment veux tu que je sorte un script béton en debutant dans le truc? A en écouter certains tout se fait en un jour !!! Franchement changez le titre du forum car il va pas avec la mentalité de certains! pffff..... Calme toi... Ben voilà...la prochaîne fois, je fernerais ma gu ... Entre remy qui dit qu'il faut tout faire à la main et que c'est super top (mais pas forcément super facile, faut bien connaître et potasser la doc), et toi qui sort des scripts pas très protecteurs (mais bon, c normal...) Moi je trouve que la solution du gui est une bonne alternative, fiable (suffisamment), facile à configurer... Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 Calme toi...Ben voilà...la prochaîne fois, je fernerais ma gu ... Entre remy qui dit qu'il faut tout faire à la main et que c'est super top (mais pas forcément super facile, faut bien connaître et potasser la doc), et toi qui sort des scripts pas très protecteurs (mais bon, c normal...) Moi je trouve que la solution du gui est une bonne alternative, fiable (suffisamment), facile à configurer... Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors... T'inquiete je suis calme lol ma reponse était générale Mais voila je me prend des et des reflexions dans la gueule alors que je debute et c'est pas plaisant Bien sur que je me base sur des scripts qui protege rien etc... mais j'ai bien besoin d'un support pour essayer de comprendre quelquechose et pour etre corrigé ... Par exemple le script rapide de remy je le comprend mieux maintenant sauf la derniere partie mais c'est spécifique à des attaques bien precises je suppose. Je compte bien vous posez encore une tonne de questions à la noix tant que j'aurais pas compris Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 ouh ouh doucement mes amis... C'est tres bien, et ce qui compte, ssc37 c'est l'intention. Moi j'approuve ce que tu fais et c'est tres bien. C'est sur que c'est peu etre bien d'utiliser dans un premier temps qqchose generer facilement par un gui ou un firewall tout pret, comme le fait green, ce sont d'excellentes solutions.... et rien ne t'empeche par la suite de chercher a comprendre comment ca marche, c'est ca qui est important... Je ne suis pas ne avec un script iptables dans les mains.... donc, keep cool guys... Putain, dire que la conversation a derive parce que j'ai ete un peu strict envers les gui... calmes les gars, calme. Il faut y aller cprogressivement et chercher a comprendre comment ca marche, c'est ca qui est important. Sandeman utilise ce truc, mais il sait en detail ce que ca fait... e compte bien vous posez encore une tonne de questions à la noix tant que j'aurais pas compris Et je t'encourage a le faire. Si tu ne sais pas, c'est juste qu'on t a mal appris. Si tu ne comprends pas nos explications, c'est qu'elles sont mauvaises. La preuve pour mon script....y avait pas d'explications a part les commentaires... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 perso la solution du gui me plait bien ( on doit pouvoir faire des trucs compliqués ), et je vais tester ( a condition que l'on puisse le faire sur un autre ordi que celui ou il y a le firewall ( pas de graphique non plus ), sachant que l'on n'est pas censé connaiter le numero des ports et je vois que sur le graphe c'est les noms ) sinon à la main d'accord, mais bon iptable c'est pas une partie de plaisir non plus .. ( j'y ai passé du temps et mon script doit être bidon .... donc bon .... Heu sinon, si on quitte windows, ce n'est pas forcément pour passer sous gentoo.. Perso je trouve la fedora un superbe clickodrome ( pire que windows ) mais je trouve ça super comme machine personnel. Ensuite, si l'on monte un serveur ( un vrai ) la il faut sans doute faire gaffe et regarder de plus pret ce qeu l'on fait ..... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arofarn Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Fedora fait largement moins clicodrome que Mandrake pour avoir tester les deux très récemment (ce dernier mois) et les deux sont moins clicodrome que windows => c'est facile sous windows a part net use, tout ce configure a la souris Je suis partisan du progressif: d'abord un GUI a peu près complet et pratique, histoire de faire des truc pas trop mal et de comprendre les grande ligne et quelques détails puis avec script/vi pour appronfondir et fignollé Et je suis aussi un grand poseur de question et un curieux. Et si je sais quelque chose qui peut aider (genre fwbuilder, merci Tuxxx), je le dis Toute question intelligente posée sur un forum, peu servir à d'autre Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 Et je t'encourage a le faire. Si tu ne sais pas, c'est juste qu'on t a mal appris. Si tu ne comprends pas nos explications, c'est qu'elles sont mauvaises. La preuve pour mon script....y avait pas d'explications a part les commentaires... Faut peut être pas poussé non + car je peux te dire que je suis assez tetu docn ca aide pas les explications Tu pourais me dire si ce que j'ai dit dans le haut de la page d'avant est juste au sujet de ton script stp? car j'aimerais au moins savoir si je l'ai compris Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors... Allez viens, on va se créer un topic #calimero, où on sera Modo tous les deux :tchintchin: Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 fwbuilder est une vrai usine à gaz Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 C'est pour eviter que ta machine soit visible sur le net.... La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arofarn Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 fwbuilder est une vrai usine à gaz lol ça peu pas être pire qu'un script écrit par un dsilecsique des doigts comme moi Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 frodon:~# cat /etc/init.d/iptables #!/bin/sh -e PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # Addresses echo -n "getting IP address : " pubip=`ifconfig ppp0 | grep inet | cut -d':' -f2 | cut -f1 -d" "` echo ": $pubip" boulot=xx.xx.0.0/16 boulotpub=xx.xx.xx.32/28 boulotgw=xx.xx.xx.34 mercure=xx.xx.xx.8/30 frodon=192.168.0.1 # le firewall gollum=192.168.0.4 # une machine de test FreeS/Wan gandalf=192.168.0.3 # ma station sous Linux mithrandir=192.168.0.4 # ma station sous Windows subnet=192.168.0.0/24 local=127.0.0.0/8 all=0.0.0.0/0 ################################################# # FORWARDING # j'arrete toutes les transmissions de paquet lorsque avant de lancer / modifier # les regles de fw echo "Forwarding stop" echo 0 > /proc/sys/net/ipv4/ip_forward ################################################# # NAT echo -n "NAT rules : " echo -n " flushing;" iptables -F PREROUTING -t nat iptables -F POSTROUTING -t nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT echo -n " masquerading;" iptables -t nat -A POSTROUTING -s $subnet -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s $local -o ppp0 -j MASQUERADE # regles pour forwarder l'ESP (VPN) vers le FreeS/WAN ou le client VPN Windows #echo -n " VPN;" #iptables -t nat -A PREROUTING -s $boulotgw -j DNAT --to $gollum #iptables -t nat -A PREROUTING -p udp --dport 500 -s $boulotgw -j DNAT --to $gollum #iptables -t nat -A PREROUTING -p 50 -s $boulotgw -j DNAT --to $gollum # SSH # regles pour forwarder le port 2222 vers le port 22 de ma station #iptables -t nat -A PREROUTING -p tcp -s $boulot --dport 2222 -j DNAT --to $gandalf:22 #iptables -t nat -A PREROUTING -p tcp -s $boulotpub --dport 2222 -j DNAT --to $gandalf:22 # differents outils de conferencing sous Windows # ICU #iptables -t nat -A PREROUTING -p tcp -s $all --dport 29150 -j DNAT --to $mithrandir # Buddytalk #iptables -t nat -A PREROUTING -p tcp -s $all --dport 8481 -j DNAT --to $mithrandir #iptables -t nat -A PREROUTING -p tcp -s $all --dport 8995 -j DNAT --to $mithrandir #B4U #iptables -t nat -A PREROUTING -p tcp -s $all --dport 5500 -j DNAT --to $mithrandir echo " done." ################################################# # OUTPUT echo -n "OUTPUT rules : " echo -n " flushing;" iptables -F OUTPUT echo -n " banning; " # pour empecher d'atteindre certaines IP (des sites foireux, ....) banned=`cat /etc/iptables_banned.conf` for i in $banned do iptables -A OUTPUT -d $i -j REJECT done iptables -P OUTPUT ACCEPT iptables -t mangle -F OUTPUT # je tag les paquets du user "lane" pour lui appliquer de la QoS (peut aussi servir pour un client P2P) # le script de QoS est separe et hors sujet iptables -t mangle -A OUTPUT -m owner --uid-owner lane -j MARK --set-mark 4 echo " done." ################################################# # INPUT echo -n "INPUT rules : " echo -n " flushing;" iptables -F INPUT iptables -P INPUT ACCEPT # oui, bizarre le ACCEPT mais plus loin je deny tout pour pouvoir logger echo -n " base;" iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo -n " device accept;" # j'autorise ce qui vient de l'interne iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -i lo0 -j ACCEPT echo -n " IP accept;" j'autorise ce qui vient du taf iptables -A INPUT -s $boulot -j ACCEPT # admin iptables -A INPUT -s $boulotpub -p tcp --dport 8080 -j ACCEPT # MRTG (outil de monitorin SNMP qui interroge en autre le firewall) iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 161:162 -j ACCEPT echo -n " port accept;" # j'autorise tout ce qui vient du port 22 (je log a la volee) iptables -A INPUT -i ppp0 -p tcp --dport 22 -j LOG --log-prefix IPT_INPUT_SSHACTIVITY --log-level 5 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # j'autorise vers le serveur Apache installe sur le firewall iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -s $boulotpub --dport 8080 -j ACCEPT echo -n " ppp block;" iptables -A INPUT -i ppp0 -j LOG --log-prefix IPT_INPUT_REJECTED --log-level 5 #je bloque tout ce qui arrive de ppp0, par catégorie, afin de pouvoir faire des stats de tentatives #de connexion TCP,UDP,ICMP ... en regardant combien de fois la regle a matche #au passage je rejette avec un "host unreachable" pour faire croire que la machine est eteinte #a comparer a un DROP ... iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j REJECT --reject-with icmp-host-unreachable iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j REJECT --reject-with icmp-host-unreachable iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with icmp-host-unreachable iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-host-unreachable iptables -A INPUT -i ppp0 -p icmp -j REJECT --reject-with icmp-host-unreachable # pis je bloque tout, quand meme iptables -A INPUT -i ppp0 -j REJECT --reject-with icmp-host-unreachable echo " done." ################################################# # FORWARD echo -n "FORWARD rules : " echo -n " flushing;" iptables -F FORWARD # je refuse par defaut que quoi que ce soit traverse iptables -P FORWARD DROP echo -n " base;" # si le MTU differe du modem Ethernet ... iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # toutes les sessions deja etablies, OK iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT echo -n " device accept;" iptables -A FORWARD -i eth0 -j ACCEPT #echo -n " IP accept;" #echo -n " port accept;" #iptables -A FORWARD -p tcp --dport 80 -j ACCEPT echo " done." ################################################# # FORWARDING #je ractive le port forwarding ... echo "Forwarding start" echo 1 > /proc/sys/net/ipv4/ip_forward ################################################# # Lignes pretes a l"emploi # # FTP SERVER #iptables -A FORWARD -d 192.168.0.22 -j ACCEPT #iptables -t nat -A PREROUTING -p tcp --dport 21 -d $pubip -j DNAT --to $gandalf #iptables -t nat -A PREROUTING -s xx.xx.xx.xx -d $pubip -j DNAT --to $gandalf si ça peut aider (ou être critiqué constructivement) même si c'est tout en english, c'est entirement fait main !! Lien vers le commentaire Partager sur d’autres sites More sharing options...
ssc37 Posté(e) le 18 août 2004 Auteur Partager Posté(e) le 18 août 2004 C'est pour eviter que ta machine soit visible sur le net.... La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout erf c'est bien ce que je dis je capte rien Voila comment j'avais compris le truc moi histoire qu'on me prenne pour un boulet de compet! #------------------------ # # Local Area Network # everything is allowed #------------------------ iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT On accepte ce qui rentre et sort de eth1 avec comme adresse reseau 192.168.1.0 #------------------------------------------ # HTTP (80/TCP) # HTTPS (443/TCP) #------------------------------------------ # connexions sortantes iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT et la on accepte que ca sort par eth0 Mais bon vu l'explication que tu m'a donné au final j'ai rien compris Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 très joli script bien compliqué le mien fait pale figure a côte ... #!/bin/sh # Adresses et réseaux CONNEXION_LOCALE="br0" CONNEXION_INTERNET="ppp0" SERVEUR_2="192.168.0.194" echo "========== REGLES ELEMENTAIRES ==========" # Reinitialisation des regles echo "Reinitialisation des regles" iptables -F iptables -P OUTPUT ACCEPT iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -F # Regles par defaut pour le firewall #on jette tout ce qui rentre iptables -P INPUT DROP # on accepte le forward iptables -P FORWARD ACCEPT #on accepte tout se qui sort iptables -P OUTPUT ACCEPT #pour le ping puisse entrer sur le serveur #iptables -A INPUT -p icmp -j ACCEPT # Ouverture des ports pour le reseau interne echo "Ouverture des ports pour le reseau interne" # tout ce qui rentre et qui sort sur le reseau local est accepter iptables -A INPUT -i $CONNEXION_LOCALE -j ACCEPT iptables -A OUTPUT -o $CONNEXION_LOCALE -j ACCEPT # resolution de nom obligatoire iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #on accepte tout ce qui tourne sur lo ( sinon \xc3\xa7a pose des probl\xc3\xa8mes surtout avec son propre dns) iptables -A INPUT -i lo -j ACCEPT # Masquerading echo "Masquerading" # activation du nat pour le r\xc3\xa9seau local iptables -t nat -A POSTROUTING -o $CONNEXION_INTERNET -j MASQUERADE #emule par d\xc3\xa9faut #iptables -A INPUT -p tcp --dport 4662 -j ACCEPT #iptables -A INPUT -p udp --dport 4672 -j ACCEPT #emule sur un port diffrent ici 6666 iptables -A INPUT -p tcp --dport 6666 -j ACCEPT iptables -A INPUT -p udp --dport 6666 -j ACCEPT # ftp ouvert sur l'exterieur #iptables -A INPUT -p tcp --dport 21 -j ACCEPT #iptables -A INPUT -p udp --dport 21 -j ACCEPT #ut2003 sur serveur en local visible sur le net #iptables -A INPUT -p tcp --dport 7777 -j ACCEPT #iptables -A INPUT -p udp --dport 7777 -j ACCEPT # bittorent sur le port 6882 iptables -A INPUT -p tcp --dport 6882 -j ACCEPT iptables -A INPUT -p udp --dport 6882 -j ACCEPT # bittorent sur le port 6881 iptables -A INPUT -p tcp --dport 6881 -j ACCEPT iptables -A INPUT -p udp --dport 6881 -j ACCEPT # Configuration pour Apache echo "Apache-SSL" iptables -A INPUT -p tcp --dport 443 -j ACCEPT #Serveur apache entrant sur port 80 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # serveur mail de l'ex iptables -A INPUT -p tcp --dport 25 -j ACCEPT #proxy transparent iptables -t nat -A PREROUTING -i $CONNEXION_LOCALE -p tcp --dport 80 -j REDIRECT --to-port 3128 #exemple de port forwarding pour emule sur le port 6666 pour la machine $SERVEUR_2 #iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p tcp --dport 6666 -j DNAT --to 192.168.0.2 #iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p udp --dport 6666 -j DNAT --to 192.168.0.2 #iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p tcp --dport 6666 -j ACCEPT #iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p udp --dport 6666 -j ACCEPT #exemple de port forwarding pour un server linux ut 2003 iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p tcp --dport 30000 -j DNAT --to $SERVEUR_2 iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p udp --dport 30000 -j DNAT --to $SERVEUR_2 iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p tcp --dport 30000 -j ACCEPT iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p udp --dport 30000 -j ACCEPT # Allow incoming OpenVPN packets # Duplicate the line below for each # OpenVPN tunnel, changing --dport n # to match the OpenVPN UDP port. # # In OpenVPN, the port number is # controlled by the --port n option. # If you put this option in the config # file, you can remove the leading '--' # # If you taking the stateful firewall # approach (see the OpenVPN HOWTO), # then comment out the line below. iptables -A INPUT -p udp --dport 5000 -j ACCEPT # Allow packets from TUN/TAP devices. # When OpenVPN is run in a secure mode, # it will authenticate packets prior # to their arriving on a tun or tap # interface. Therefore, it is not # necessary to add any filters here, # unless you want to restrict the # type of packets which can flow over # the tunnel. #iptables -A INPUT -i tun+ -j ACCEPT #iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT #iptables -A FORWARD -i tap+ -j ACCEPT # Allow packets from private subnets #iptables -A INPUT -i br0 -j ACCEPT #iptables -A FORWARD -i br0 -j ACCEPT Lien vers le commentaire Partager sur d’autres sites More sharing options...
miyamoto Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 C'est pour eviter que ta machine soit visible sur le net.... La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout euh excuses-moi, mais si tu surf ton port 80 n'est absolument pas ouvert faut pas confondre port en sortie et en entrée. Quand tu surfes, tu te connectes sur des serveurs http dont le port est 80, mais le port utilisé par ton browser est un des ports applicatifs non réservés (ie supérieur à 1024 )... sinon, t'imagines le boxon Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 oui, mais je t'a bien dis des le debut que lorsque j'aurais le temps, surement a la fin de cette semaine, j'ecrirai un arcticle complet, je voulais juste te repondre rapidement a ton post et au final.... -> Sandeman J'ai pas le tps de lire ton script en detail, je l'ai survole, mais perso je ferais une grosse critique. La politique par defaut est accept, alors que n'importe quel expert securite te dira que normallement, c'est DENY ou DROP. Et ensuite, toi tu defini explicitement ce que l'on prends. certes, tu le fais surement par la suite dans tes regles, mais la ce script, pour ce que j'en ai vu n'est pas top, dans le sens ou tu peux avoir potentiellement bcp de failles, tout ce que tu oublies en fait. voila, tu me repondras surement que tu connais bien,que tu es expert dans le domaine ( je rappelle au passage que je ne suis pas mal place non plus dans ce domaine, et que nous subissons en moyenne 200Millions de requetes par moi, sans compter les requetes internes des 13 000 postes clients, avec 2,2milliards d'euros de fonds propres, je t'assure que chez nous c'est plus que beton la securite. ). mais la politique par defaut est mauvaise, meme si le reste du script ( que je n'ai pas encore lu ) est tres bon. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 18 août 2004 Partager Posté(e) le 18 août 2004 OK (au passage on avait dit qu'on jouait pas à celui qui avait la plus grosse ) j'attends donc que tu aies relu.// puisque je drop tout à la fin (ce que fait implicitement le -P DROP) mais qu'entre temps je pose des logs, ce que je ne peux pas faire (enfin je crois) si je DROP par défaut... Pis jusqu'au dernier 2.6.7 ou 8 on pouvait pas faire -P REJECT, alors que moi je voulais faire du reject au lieu du DROP ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.