Jump to content

Archived

This topic is now archived and is closed to further replies.

ssc37

Probleme avec IPTABLES

Recommended Posts

regarde les images que j'ai mis

après fwbuilder convertit ça 1 POUR 1 en règles iptables. Pas besoin de s'emmerder avec un vi, désolé, ça MARCHE (en plus c'est compatible avec d'autres firewalls, dont les PIX de chez Cisco :D )

Share this post


Link to post
Share on other sites

Perso, j'utilise guarddog qui est très convivial et très bien pour un ignare comme moi ...

Share this post


Link to post
Share on other sites

oui, sauf que du coup tu ne sais meme pas comment ca marche quand tu utilises ca ( bon toi je me doute que tu sais faire le script iptables avec vi mais bon...).

Pour moi, un linux, ca s'adminsitre avec Vi, si on prefere l'adminsitrer avec des GUI tout pleins de deco, c'est ici que ca ce passe. D'ailleurs, aucun de nos serveurs n'a de serveur ou d'interfaces graphique chez nous, c'est allourdir inutilement une machine, qui n'a pas d'ecran de tout maniere. Donc, il ne reste que Vi ( ou nano ... )

Share this post


Link to post
Share on other sites

"Stay flexible, gentleman"

Quand un gars pétouille merdouille pendant des heures et commence à taper tout et n'importe quoi sous vi (je ne vise personne mais c'est l'impression que ça donne, au bout de 50 posts :chinois: ), vaut peut-être mieux qu'à un instant t, il arrête les conneries, il prend un outil pour reconstruire un truc de référence qu'il analyse, qu'il comprend et dont il se sert de base pour repartir sur quelque chose de sain.

A côté de ça, je te rassure, ici en interne on gère ~9000 règles de firewalls Linux, à part l'interface de demande réservée au grand public, tout est en mode texte par ssh interposés. On améliore un peu avec un base de données, une interface PHP et une diffusion centralisée par cfengine, mais ça reste des scripts PERL qui interprètent des fichiers textes pour faire de l'iptable.

Share this post


Link to post
Share on other sites

Vaut mieux un bon script généré automatiquement par un gui qu'un script tout pourri fait à la main...

Share this post


Link to post
Share on other sites

Le tout vi, c'est bien pour quelqu'un qui sais dans quoi il mets les pieds.

On ne peut pas demander à tout le monde de rester en console pour faire touner un PC personelle (belle redondance au passage) de quelqu'un souhaitant s'affranchir du monople de M$.

Quitter M$, ne veux pas dire forcément qu'on a horreur des clicodromes. Et les besoins d'un particulier et d'un professionnel en terme d'ergonomie et de stabilité sont pas les même je pense.

Ta mauvaise humeur pourrait laisser penser qu'il vaut mieux rester sous windows que de faire un "startx"

Share this post


Link to post
Share on other sites

non non, ce n'est pas ce que je voulais dire, maisje veux juste dire que sous linux, il faut faire des efforts et mettre les mains dans le cambouis, pour l'apprecier pleinement.

Mais le firewall est regle sur les routeurs/firewall pas sur les workstations....

"Stay flexible, gentleman"

:pleure:

perl :chinois:

Vaut mieux un bon script généré automatiquement par un gui qu'un script tout pourri fait à la main...

Vaut mieux un bon script fait a la main qu'un script tout pourri genere par une gui...

Share this post


Link to post
Share on other sites
et tu qualifirais comment le script de ssc37?

de pourri bien sur! vu qu'il protege rien....

Mais comment veux tu que je sorte un script béton en debutant dans le truc? A en écouter certains tout se fait en un jour :pleure: !!!

Franchement changez le titre du forum car il va pas avec la mentalité de certains!

Si tu ne sais pas : demande, si tu sais : partage !

pffff..... :D

Share this post


Link to post
Share on other sites
de pourri bien sur! vu qu'il protege rien....

Mais comment veux tu que je sorte un script béton en debutant dans le truc? A en écouter certains tout se fait en un jour  :D !!!

Franchement changez le titre du forum car il va pas avec la mentalité de certains!

pffff.....  :p

Calme toi...

Ben voilà...la prochaîne fois, je fernerais ma gu :pleure: ...

Entre remy qui dit qu'il faut tout faire à la main et que c'est super top (mais pas forcément super facile, faut bien connaître et potasser la doc), et toi qui sort des scripts pas très protecteurs (mais bon, c normal...)

Moi je trouve que la solution du gui est une bonne alternative, fiable (suffisamment), facile à configurer...

Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors...

Share this post


Link to post
Share on other sites
Calme toi...

Ben voilà...la prochaîne fois, je fernerais ma gu :D ...

Entre remy qui dit qu'il faut tout faire à la main et que c'est super top (mais pas forcément super facile, faut bien connaître et potasser la doc), et toi qui sort des scripts pas très protecteurs (mais bon, c normal...)

Moi je trouve que la solution du gui est une bonne alternative, fiable (suffisamment), facile à configurer...

Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors...

T'inquiete je suis calme lol ma reponse était générale :non:

Mais voila je me prend des :roll: et des reflexions dans la gueule alors que je debute et c'est pas plaisant :mad2:

Bien sur que je me base sur des scripts qui protege rien etc... mais j'ai bien besoin d'un support pour essayer de comprendre quelquechose et pour etre corrigé ...

Par exemple le script rapide de remy je le comprend mieux maintenant sauf la derniere partie :pleure: mais c'est spécifique à des attaques bien precises je suppose.

Je compte bien vous posez encore une tonne de questions à la noix tant que j'aurais pas compris :p

Share this post


Link to post
Share on other sites

ouh ouh doucement mes amis...

C'est tres bien, et ce qui compte, ssc37 c'est l'intention. Moi j'approuve ce que tu fais et c'est tres bien. C'est sur que c'est peu etre bien d'utiliser dans un premier temps qqchose generer facilement par un gui ou un firewall tout pret, comme le fait green, ce sont d'excellentes solutions.... et rien ne t'empeche par la suite de chercher a comprendre comment ca marche, c'est ca qui est important... Je ne suis pas ne avec un script iptables dans les mains.... :D

donc, keep cool guys... Putain, dire que la conversation a derive parce que j'ai ete un peu strict envers les gui... calmes les gars, calme.

Il faut y aller cprogressivement et chercher a comprendre comment ca marche, c'est ca qui est important. Sandeman utilise ce truc, mais il sait en detail ce que ca fait...

:pleure:

e compte bien vous posez encore une tonne de questions à la noix tant que j'aurais pas compris

Et je t'encourage a le faire. Si tu ne sais pas, c'est juste qu'on t a mal appris. Si tu ne comprends pas nos explications, c'est qu'elles sont mauvaises. La preuve pour mon script....y avait pas d'explications a part les commentaires...

Share this post


Link to post
Share on other sites

perso la solution du gui me plait bien ( on doit pouvoir faire des trucs compliqués ), et je vais tester ( a condition que l'on puisse le faire sur un autre ordi que celui ou il y a le firewall ( pas de graphique non plus ), sachant que l'on n'est pas censé connaiter le numero des ports et je vois que sur le graphe c'est les noms :pleure: )

sinon à la main d'accord, mais bon iptable c'est pas une partie de plaisir non plus .. ( j'y ai passé du temps et mon script doit être bidon ....

donc bon ....

Heu sinon, si on quitte windows, ce n'est pas forcément pour passer sous gentoo..

Perso je trouve la fedora un superbe clickodrome ( pire que windows ) mais je trouve ça super comme machine personnel.

Ensuite, si l'on monte un serveur ( un vrai ) la il faut sans doute faire gaffe et regarder de plus pret ce qeu l'on fait .....

Share this post


Link to post
Share on other sites

Fedora fait largement moins clicodrome que Mandrake pour avoir tester les deux très récemment (ce dernier mois) et les deux sont moins clicodrome que windows => c'est facile sous windows a part net use, tout ce configure a la souris

Je suis partisan du progressif: d'abord un GUI a peu près complet et pratique, histoire de faire des truc pas trop mal et de comprendre les grande ligne et quelques détails puis avec script/vi pour appronfondir et fignollé :p

Et je suis aussi un grand poseur de question et un curieux. Et si je sais quelque chose qui peut aider (genre fwbuilder, merci Tuxxx), je le dis :pleure:

Toute question intelligente posée sur un forum, peu servir à d'autre :D

Share this post


Link to post
Share on other sites
Et je t'encourage a le faire. Si tu ne sais pas, c'est juste qu'on t a mal appris. Si tu ne comprends pas nos explications, c'est qu'elles sont mauvaises. La preuve pour mon script....y avait pas d'explications a part les commentaires...

Faut peut être pas poussé non + :p car je peux te dire que je suis assez tetu docn ca aide pas les explications :D

Tu pourais me dire si ce que j'ai dit dans le haut de la page d'avant est juste au sujet de ton script stp? car j'aimerais au moins savoir si je l'ai compris :pleure:

Share this post


Link to post
Share on other sites

Mais bon, puisque je me fait taper dessus dès que je dis quelque chose, je dit plus rien, alors...

Allez viens, on va se créer un topic #calimero, où on sera Modo tous les deux :tchintchin:

Share this post


Link to post
Share on other sites

C'est pour eviter que ta machine soit visible sur le net....

La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... :pleure:

Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout

Share this post


Link to post
Share on other sites
fwbuilder est une vrai usine à gaz :iloveyou:

lol

ça peu pas être pire qu'un script écrit par un dsilecsique des doigts comme moi :iloveyou:

Share this post


Link to post
Share on other sites

frodon:~# cat /etc/init.d/iptables

#!/bin/sh -e
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Addresses

echo -n "getting IP address : "
pubip=`ifconfig ppp0 | grep inet | cut -d':' -f2 | cut -f1 -d" "`
echo ": $pubip"

boulot=xx.xx.0.0/16
boulotpub=xx.xx.xx.32/28
boulotgw=xx.xx.xx.34
mercure=xx.xx.xx.8/30
frodon=192.168.0.1   # le firewall
gollum=192.168.0.4    # une machine de test FreeS/Wan
gandalf=192.168.0.3  # ma station sous Linux
mithrandir=192.168.0.4 # ma station sous Windows
subnet=192.168.0.0/24
local=127.0.0.0/8
all=0.0.0.0/0

#################################################
# FORWARDING
# j'arrete toutes les transmissions de paquet lorsque avant de lancer / modifier
# les regles de fw
echo "Forwarding stop"
echo 0 > /proc/sys/net/ipv4/ip_forward

#################################################
# NAT
echo -n "NAT rules :     "
echo -n " flushing;"
iptables -F PREROUTING -t nat
iptables -F POSTROUTING -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

echo -n " masquerading;"
iptables -t nat -A POSTROUTING -s $subnet -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $local -o ppp0 -j MASQUERADE

# regles pour forwarder l'ESP (VPN) vers le FreeS/WAN ou le client VPN Windows
#echo -n " VPN;"
#iptables -t nat -A PREROUTING -s $boulotgw -j DNAT --to $gollum
#iptables -t nat -A PREROUTING -p udp --dport 500 -s $boulotgw -j DNAT --to $gollum
#iptables -t nat -A PREROUTING -p 50 -s $boulotgw -j DNAT --to $gollum

# SSH
# regles pour forwarder le port 2222 vers le port 22 de ma station
#iptables -t nat -A PREROUTING -p tcp -s $boulot --dport 2222 -j DNAT --to $gandalf:22
#iptables -t nat -A PREROUTING -p tcp -s $boulotpub --dport 2222 -j DNAT --to $gandalf:22

# differents outils de conferencing sous Windows
# ICU
#iptables -t nat -A PREROUTING -p tcp -s $all --dport 29150 -j DNAT --to $mithrandir
# Buddytalk
#iptables -t nat -A PREROUTING -p tcp -s $all --dport 8481 -j DNAT --to $mithrandir
#iptables -t nat -A PREROUTING -p tcp -s $all --dport 8995 -j DNAT --to $mithrandir
#B4U
#iptables -t nat -A PREROUTING -p tcp -s $all --dport 5500 -j DNAT --to $mithrandir

echo " done."

#################################################
# OUTPUT
echo -n "OUTPUT rules :  "
echo -n " flushing;"
iptables -F OUTPUT
echo -n " banning; "
# pour empecher d'atteindre certaines IP (des sites foireux, ....)
banned=`cat /etc/iptables_banned.conf`
for i in $banned
do
       iptables -A OUTPUT -d $i -j REJECT
done

iptables -P OUTPUT ACCEPT

iptables -t mangle -F OUTPUT
# je tag les paquets du user "lane" pour lui appliquer de la QoS (peut aussi servir pour un client P2P)
# le script de QoS est separe et hors sujet
iptables -t mangle -A OUTPUT -m owner --uid-owner lane -j MARK --set-mark 4

echo " done."

#################################################
# INPUT
echo -n "INPUT rules :   "
echo -n " flushing;"
iptables -F INPUT
iptables -P INPUT ACCEPT
# oui, bizarre le ACCEPT mais plus loin je deny tout pour pouvoir logger

echo -n " base;"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo -n " device accept;"
# j'autorise ce qui vient de l'interne
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo0 -j ACCEPT

echo -n " IP accept;"
j'autorise ce qui vient du taf
iptables -A INPUT -s $boulot -j ACCEPT
# admin
iptables -A INPUT -s $boulotpub -p tcp --dport 8080 -j ACCEPT
# MRTG (outil de monitorin SNMP qui interroge en autre le firewall)
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 161:162 -j ACCEPT

echo -n " port accept;"
# j'autorise tout ce qui vient du port 22 (je log a la volee)
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j LOG --log-prefix IPT_INPUT_SSHACTIVITY  --log-level 5
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# j'autorise vers le serveur Apache installe sur le firewall
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s $boulotpub --dport 8080 -j ACCEPT

echo -n " ppp block;"
iptables -A INPUT -i ppp0 -j LOG --log-prefix IPT_INPUT_REJECTED --log-level 5
#je bloque tout ce qui arrive de ppp0, par catégorie, afin de pouvoir faire des stats de tentatives
#de connexion TCP,UDP,ICMP ... en regardant combien de fois la regle a matche
#au passage je rejette avec un "host unreachable" pour faire croire que la machine est eteinte
#a comparer a un DROP ...
iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -i ppp0 -p icmp -j REJECT --reject-with icmp-host-unreachable
# pis je bloque tout, quand meme
iptables -A INPUT -i ppp0 -j REJECT --reject-with icmp-host-unreachable


echo " done."

#################################################
# FORWARD
echo -n "FORWARD rules : "
echo -n " flushing;"
iptables -F FORWARD
# je refuse par defaut que quoi que ce soit traverse
iptables -P FORWARD DROP

echo -n " base;"
# si le MTU differe du modem Ethernet ...
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# toutes les sessions deja etablies, OK
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo -n " device accept;"
iptables -A FORWARD -i eth0 -j ACCEPT

#echo -n " IP accept;"

#echo -n " port accept;"
#iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
echo " done."

#################################################
# FORWARDING
#je ractive le port forwarding ...
echo "Forwarding start"
echo 1 > /proc/sys/net/ipv4/ip_forward

#################################################
# Lignes pretes a l"emploi
#
# FTP SERVER
#iptables -A FORWARD -d 192.168.0.22 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp --dport 21 -d $pubip -j DNAT --to $gandalf
#iptables -t nat -A PREROUTING -s xx.xx.xx.xx -d $pubip -j DNAT --to $gandalf

si ça peut aider (ou être critiqué constructivement)

même si c'est tout en english, c'est entirement fait main !!

Share this post


Link to post
Share on other sites
C'est pour eviter que ta machine soit visible sur le net....

La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... :transpi:

Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout

erf c'est bien ce que je dis je capte rien :iloveyou:

Voila comment j'avais compris le truc moi histoire qu'on me prenne pour un boulet de compet! :iloveyou:

#------------------------
#
#  Local Area Network
#  everything is allowed
#------------------------

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT

On accepte ce qui rentre et sort de eth1 avec comme adresse reseau 192.168.1.0

#------------------------------------------
# HTTP (80/TCP)
# HTTPS (443/TCP)
#------------------------------------------

# connexions sortantes

iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 80  -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0  -p tcp --dport 443 -j ACCEPT

et la on accepte que ca sort par eth0

Mais bon vu l'explication que tu m'a donné au final j'ai rien compris :transpi:

Share this post


Link to post
Share on other sites

très joli script bien compliqué :iloveyou:

le mien fait pale figure a côte ... :iloveyou:

#!/bin/sh

# Adresses et réseaux

CONNEXION_LOCALE="br0"

CONNEXION_INTERNET="ppp0"

SERVEUR_2="192.168.0.194"

echo "========== REGLES ELEMENTAIRES =========="

# Reinitialisation des regles

echo "Reinitialisation des regles"

iptables -F

iptables -P OUTPUT ACCEPT

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -t nat -F

# Regles par defaut pour le firewall

#on jette tout ce qui rentre

iptables -P INPUT DROP

# on accepte le forward

iptables -P FORWARD ACCEPT

#on accepte tout se qui sort

iptables -P OUTPUT ACCEPT

#pour le ping puisse entrer sur le serveur

#iptables -A INPUT -p icmp -j ACCEPT

# Ouverture des ports pour le reseau interne

echo "Ouverture des ports pour le reseau interne"

# tout ce qui rentre et qui sort sur le reseau local est accepter

iptables -A INPUT -i $CONNEXION_LOCALE -j ACCEPT

iptables -A OUTPUT -o $CONNEXION_LOCALE -j ACCEPT

# resolution de nom obligatoire

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#on accepte tout ce qui tourne sur lo ( sinon \xc3\xa7a pose des probl\xc3\xa8mes surtout avec son propre dns)

iptables -A INPUT -i lo -j ACCEPT

# Masquerading

echo "Masquerading"

# activation du nat pour le r\xc3\xa9seau local

iptables -t nat -A POSTROUTING -o $CONNEXION_INTERNET -j MASQUERADE

#emule par d\xc3\xa9faut

#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#iptables -A INPUT -p udp --dport 4672 -j ACCEPT

#emule sur un port diffrent ici 6666

iptables -A INPUT -p tcp --dport 6666 -j ACCEPT

iptables -A INPUT -p udp --dport 6666 -j ACCEPT

# ftp ouvert sur l'exterieur

#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#iptables -A INPUT -p udp --dport 21 -j ACCEPT

#ut2003 sur serveur en local visible sur le net

#iptables -A INPUT -p tcp --dport 7777 -j ACCEPT

#iptables -A INPUT -p udp --dport 7777 -j ACCEPT

# bittorent sur le port 6882

iptables -A INPUT -p tcp --dport 6882 -j ACCEPT

iptables -A INPUT -p udp --dport 6882 -j ACCEPT

# bittorent sur le port 6881

iptables -A INPUT -p tcp --dport 6881 -j ACCEPT

iptables -A INPUT -p udp --dport 6881 -j ACCEPT

# Configuration pour Apache

echo "Apache-SSL"

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#Serveur apache entrant sur port 80

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# serveur mail de l'ex

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#proxy transparent

iptables -t nat -A PREROUTING -i $CONNEXION_LOCALE -p tcp --dport 80 -j REDIRECT --to-port 3128

#exemple de port forwarding pour emule sur le port 6666 pour la machine $SERVEUR_2

#iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p tcp --dport 6666 -j DNAT --to 192.168.0.2

#iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p udp --dport 6666 -j DNAT --to 192.168.0.2

#iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p tcp --dport 6666 -j ACCEPT

#iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p udp --dport 6666 -j ACCEPT

#exemple de port forwarding pour un server linux ut 2003

iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p tcp --dport 30000 -j DNAT --to $SERVEUR_2

iptables -t nat -A PREROUTING -i $CONNEXION_INTERNET -p udp --dport 30000 -j DNAT --to $SERVEUR_2

iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p tcp --dport 30000 -j ACCEPT

iptables -A FORWARD -i $CONNEXION_INTERNET -o $CONNEXION_LOCALE -d $SERVEUR_2 -p udp --dport 30000 -j ACCEPT

# Allow incoming OpenVPN packets

# Duplicate the line below for each

# OpenVPN tunnel, changing --dport n

# to match the OpenVPN UDP port.

#

# In OpenVPN, the port number is

# controlled by the --port n option.

# If you put this option in the config

# file, you can remove the leading '--'

#

# If you taking the stateful firewall

# approach (see the OpenVPN HOWTO),

# then comment out the line below.

iptables -A INPUT -p udp --dport 5000 -j ACCEPT

# Allow packets from TUN/TAP devices.

# When OpenVPN is run in a secure mode,

# it will authenticate packets prior

# to their arriving on a tun or tap

# interface.  Therefore, it is not

# necessary to add any filters here,

# unless you want to restrict the

# type of packets which can flow over

# the tunnel.

#iptables -A INPUT -i tun+ -j ACCEPT

#iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A INPUT -i tap+ -j ACCEPT

#iptables -A FORWARD -i tap+ -j ACCEPT

# Allow packets from private subnets

#iptables -A INPUT -i br0 -j ACCEPT

#iptables -A FORWARD -i br0 -j ACCEPT

Share this post


Link to post
Share on other sites
C'est pour eviter que ta machine soit visible sur le net....

La tu es en train de surfer, donc ton port 80 est ouvert, obligatoirement, meme si les simples audit de securite reseau te disent qu'il est ferme ! Sinon, comment tu ferais pour surfer ??? Il faut se poser des questions pour comprendre comment marche les choses.... :transpi:

Ces lignes servent donc a interdire les packets nouveaux arrivant vers ta machine.... donc, TU decides de surfer et ON TE REPOND, mais pas le contraire ! Bcp de machine se croient proteger, mais leur admin reseau ne font pas attention a la subtilite TU-ON REPOND.... voila tout

euh excuses-moi, mais si tu surf ton port 80 n'est absolument pas ouvert :iloveyou:

faut pas confondre port en sortie et en entrée. Quand tu surfes, tu te connectes sur des serveurs http dont le port est 80, mais le port utilisé par ton browser est un des ports applicatifs non réservés (ie supérieur à 1024 )...

sinon, t'imagines le boxon :iloveyou:

Share this post


Link to post
Share on other sites

oui, mais je t'a bien dis des le debut que lorsque j'aurais le temps, surement a la fin de cette semaine, j'ecrirai un arcticle complet, je voulais juste te repondre rapidement a ton post et au final....

-> Sandeman

J'ai pas le tps de lire ton script en detail, je l'ai survole, mais perso je ferais une grosse critique. La politique par defaut est accept, alors que n'importe quel expert securite te dira que normallement, c'est DENY ou DROP. Et ensuite, toi tu defini explicitement ce que l'on prends.

certes, tu le fais surement par la suite dans tes regles, mais la ce script, pour ce que j'en ai vu n'est pas top, dans le sens ou tu peux avoir potentiellement bcp de failles, tout ce que tu oublies en fait.

voila, tu me repondras surement que tu connais bien,que tu es expert dans le domaine ( je rappelle au passage que je ne suis pas mal place non plus dans ce domaine, et que nous subissons en moyenne 200Millions de requetes par moi, sans compter les requetes internes des 13 000 postes clients, avec 2,2milliards d'euros de fonds propres, je t'assure que chez nous c'est plus que beton la securite. ). mais la politique par defaut est mauvaise, meme si le reste du script ( que je n'ai pas encore lu ) est tres bon.

Share this post


Link to post
Share on other sites

OK (au passage on avait dit qu'on jouait pas à celui qui avait la plus grosse :iloveyou: )

j'attends donc que tu aies relu.//

puisque je drop tout à la fin (ce que fait implicitement le -P DROP) mais qu'entre temps je pose des logs, ce que je ne peux pas faire (enfin je crois) si je DROP par défaut...

Pis jusqu'au dernier 2.6.7 ou 8 on pouvait pas faire -P REJECT, alors que moi je voulais faire du reject au lieu du DROP ...

Share this post


Link to post
Share on other sites

×
×
  • Create New...