Problème config firewall sur serveur Debian

Fermé
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 - 15 déc. 2009 à 18:33
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 - 17 déc. 2009 à 13:54
Bonjour,

je met en place un serveur web, et j'ai un problème avec le firewall.

Pour le serveur, j'ai suivi le SiteDuZero. Mais pour la partie firewall je suis ce tuto : https://www.lafermeduweb.net#secu

et lorsque cette partie du code est rajoutée (tout le reste fonctionne, c'est juste cette ligne là qui pose problème) dans firewall.sh
Code:

  1. # Interdire toute connexion sortante
  2. iptables -t filter -P OUTPUT DROP
  3. echo - Interdire toute connexion sortante : [OK]


je perd la connexion SSH, et pas moyen de me reconnecter. Obliger de rebooter le serveur pour m'y reconnecter.

Merci de votre aide.

A voir également:

16 réponses

bob031 Messages postés 8158 Date d'inscription samedi 7 août 2004 Statut Membre Dernière intervention 1 septembre 2014 472
15 déc. 2009 à 19:49
Bonjour,

Je ne suis malheureusement pas spécialiste .... mais je pense que certaines informations permettraient de faire avancer le sujet :

le fichier des règles iptables (en cachant les données sensibles)

la commande suivante :

iptables -L -nv

0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
15 déc. 2009 à 20:15
quelques infos en plus alors :

quand je complète le ficheir firewall comme indique le tutos, sans mettre la ligne qui pose problème et que je le lance ça donne ça :
root [~] > ./firewall.sh
Setting firewall rules...
- Interdire toute connexion entrante : [OK]
- Vidage : [OK]
- Bloquer Taiwanais : [OK]
- Ne pas casser les connexions établies : [OK]
iptables v1.4.2: host/network `IP_SUPERVISION' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2: host/network `IP_SUPERVISION' not found
Try `iptables -h' or 'iptables --help' for more information.
- Autoriser Supervision : [OK]
- Autoriser les requetes DNS, FTP, HTTP : [OK]
- Autoriser loopback : [OK]
- Autoriser ping : [OK]
- Autoriser serveur Apache : [OK]
- Autoriser serveur FTP : [OK]
./firewall.sh: line 71: --log-prefix: command not found
iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
15 déc. 2009 à 20:16
Ensuite, si je fait un iptables -L -nv

j'obtiens ça :

root [~] > iptables -L -nv
Chain INPUT (policy DROP 10 packets, 676 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG_REJECT_SMTP  all  --  eth0   *       61.64.128.0/17       0.0.0.0/0           
    0     0 LOG_REJECT_SMTP  all  --  eth0   *       122.120.0.0/13       0.0.0.0/0           
    0     0 LOG_REJECT_SMTP  all  --  eth0   *       168.95.0.0/16        0.0.0.0/0           
   25  1578 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:6060 recent: CHECK seconds: 60 hit_count: 2 name: SSH side: source LOG flags 0 level 4 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:6060 recent: UPDATE seconds: 60 hit_count: 2 name: SSH side: source 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 26 packets, 4216 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   21  2660 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123 
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LOG_REJECT_SMTP (3 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix ` SMTP REJECT PAQUET : ' 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
root [~] > 
0
bob031 Messages postés 8158 Date d'inscription samedi 7 août 2004 Statut Membre Dernière intervention 1 septembre 2014 472
15 déc. 2009 à 21:00
plutôt donner le :

cat firewall.sh

note : toujours en masquant les données sensibles



sinon comme tu l'as surligné : iptables v1.4.2: host/network `IP_SUPERVISION' not found n'indique rien de bon !

si on se réfère sur la doc, cela vient d'ici :

# Autoriser la Supervision du serveur (SNMP)
iptables -t filter -A INPUT -p tcp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT
echo - Autoriser Supervision : [OK]


mais cela ne me parle pas ....


enfin concernant ssh, le tuto dit d'utiliser le port 6060 .... mais est-ce que cela a été reporté dans le fichier de configuration de ssh et dans la configuration du routeur si routeur il y a !


désolé mais je ne suis pas spécialiste ....
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
15 déc. 2009 à 21:20
mon fichier firewall.sh est un fichier vide dans lequel j'ai coller les donnés du tutos. (toujours sauf la ligne qui bloque tout)

pour le shh, tout est ok coté port et routeur.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
15 déc. 2009 à 21:44
IP_SUPERVISION et VOTRE_IP peuvent être des noms de machines définies dans le /etc/hosts du serveur.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
15 déc. 2009 à 22:22
Tout d'abord merci ;-)

dans hosts j'ai

127.0.0.1 localhost
127.0.1.1 *nomduserveur*

laquelle je met pour IP_SUPERVISION ?
0
Utilisateur anonyme > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
15 déc. 2009 à 22:47
Ces deux machines semblent être des machines distantes, elles pourraient être la même (par exemple, ta machine distante).

Ton /etc/hosts devrait également comporter les renseignements concernant l'adresse réseau, le hostname est l'alias du serveur, ainsi que ceux concernant ta machine distante.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > Utilisateur anonyme
15 déc. 2009 à 22:58
c'est tout ce que j'ai dans le haut du fichier, ensuite c'est une partie sur les IPv6.


127.0.0.1 localhost
127.0.1.1 ******

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
****::0 ip6-localnet
****::0 ip6-mcastprefix
****::1 ip6-allnodes
****::2 ip6-allrouters
****::3 ip6-allhosts

J'ai tester avec 127.0.1.1 comme IP_SUPERVISION, mais encore une fois le serveur ma coupé dès l'exécution de la dite ligne qui me posent problème.
iptables -t filter -P OUTPUT DROP

Sans elle, je perd pas la connexion shh. Mais avec, le serveur me coupe et ne me répond plus. Obliger d'aller de le couper et de le relancer à l'aide du bouton power.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
15 déc. 2009 à 23:12
bon aller dodo, je me repencherais là dessus jeudi midi.

Merci
0
Salut,

Mets un # devant cette ligne est lance ton firewall.

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Donc tu auras
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
15 déc. 2009 à 22:59
ça ne change pas la situation :(
0
Re,

Mets comme ça
iptables -A OUTPUT -j ACCEPT
0
ubik Messages postés 231 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 11 mars 2011 89
16 déc. 2009 à 00:41
@lami20j: ce firewall a tout de même pour ambition de restreindre aussi les connections sortantes. Alors tout autoriser... Et l'idée de commenter la ligne servant à ne pas casser les connections déjà établies, pas terrible non plus.

@aiglenoirdu29: en parcourant le tuto il me vient cette question: es-tu allé jusqu'à l'étape 7?
Je suppose que ce tuto est écrit pour être suivi en étant connecté sur la console, et pas à distance par ssh. Si tu lances le parefeu à la fin de l'étape 6, il devient impossible de se connecter par ssh.

C'est précisément à l'étape 7 qu'on autorise les connexions ssh. Ajoute donc à ton script les commandes décrites dans cette section avant de démarrer le parefeu. Attention au numéro de port ssh: si tu as suivi le tuto depuis le début, tu as effectivement du mettre 6060 au lieu du port 22 standard.
Je ne saurais pas te dire si tu seras déconnecté sur le coup (normalement non), mais en tout cas tu pourras te reconnecter sans avoir à redémarrer le serveur. Et ton pare-feu sera démarré.

Sinon tu n'as pas accès à la console de ce système? Quand on bidouille de la config réseau, ca permet de se déplanter lorsqu'on s'est "enfermé dehors".
0
Salut,

@lami20j: ce firewall a tout de même pour ambition de restreindre aussi les connections sortantes. Alors tout autoriser...
Pourquoi cette ambition?!!
Je pense qu'il faut avoir plusieurs infos pour voir si toutes ces règles sont vraiment nécessaires.
Il fait connaître la topologie de réseau.
Les connexions sortantes de qui? Qui va essayer d'initialiser des connexions sortantes depuis le serveur?
D'après le but de serveur il n'y aura que des connexion entrantes. Il s'agit d'une machine serveur.
En revanche si la machine sera serveur/client on pourra discuter pour la nécessité des règles restrictives en OUTPUT.
Mais pour ça je pense qu'on a besoin un peu plus d'infos.

Perso je pense à deux choses.
Il faut d'abord que aiglenoirdu29 nous dis d'abord ce qu'il veut autoriser comme traffic et ensuite construire les règles selon ses besoins.

Copier/coller un script comme ça sans raison, juste puisqu'il est écrit dans le tuto, ça n'a pas de sens pour moi.

Par exemple je vois ça dans le script

étape 4
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

et puis à l'étape 5
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

C'est un peu un doublon?

A la construction d'un firewall il faut d'abord mettre sur le papier la stratégie qu'on veut mettre en place et ensuite construire et tester une par une les règles de firewall
Le copier/coller c'est loin d'être une bonne solution.
0
Utilisateur anonyme
16 déc. 2009 à 04:35
127.0.0.x c'est une adresse de loopback, c'est très très local.

Il faut indiquer _l'adresse réseau_ des machines, leur nom(, et leur alias).
Quand tu as listé toutes les machines du réseau, tu peux copier ce fichier sur toutes les machines.

man hosts
0
Re,

D'après le tuto après ces règles ssh est accèssible.
Alors on va tester pour voir ce qui ne vas pas étape par étape

Ecrit dans un fichier que tu l'appelles firewall_construction.sh
#!/bin/bash
echo Setting firewall rules...
#
#

###### Debut Initialisation ######

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]
#Creation d'une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP

# Anti-Taiwanais
iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
echo - Bloquer Taiwanais : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

# Autoriser la Supervision du serveur (SNMP)
iptables -t filter -A INPUT -p tcp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT
echo - Autoriser Supervision : [OK]

# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP : [OK]
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# donc ici il dit  : Pour le moment tout est bloqué sauf le SSH, nous allons ajouter des exceptions au blocage:


Ensuite exécute le script et dit ce qui se passe.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
16 déc. 2009 à 10:14
@ ubik : oui j'ai été jusqu'à l'étape 7,
d'ailleurs j'ai un problème avec cette ligne :

iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG
--log-prefix "SSH REJECT " <=== ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 6060 -m state --state NEW -m recent --set --name SSH -j ACCEPT


Sinon tu n'as pas accès à la console de ce système? Quand on bidouille de la config réseau, ca permet de se déplanter lorsqu'on s'est "enfermé dehors". 


le serveur est dans un coin, sans écran ni clavier, donc a part appuyer sur le bouton (il comprend qu'il doit s'éteindre, je ne l'éteint pas de force) et appuyer pour le rallumer. J'ai configuré l'accès SSH pour ne pas avoir a piqué l'écran et clavier de ma copine en permanence :)

@lami20j
Je pense qu'il faut avoir plusieurs infos pour voir si toutes ces règles sont vraiment nécessaires. 

Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non? Car pour le moment pas de serveur Mail, ni DNS.

Coté architecture ça donne Box FAI <=> Serveur + 1 PC ubuntu + un Mac
Ensuite exécute le script et dit ce qui se passe.


je test ça dès ce midi
0
Re,

ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
Oui.

Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non?
Justement, c'est ça que j'ai compris.
Franchement en OUTPUT tu peux laisser tout sortir.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
16 déc. 2009 à 11:33
Ok, donc je laisse

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]


comme ça :

# Interdire toute connexion sortante
#iptables -t filter -P OUTPUT DROP
#echo - Interdire toute connexion sortante : [OK]


ça :
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG
--log-prefix "SSH REJECT "
(deux lignes)


je le transforme en ça :

iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT "
(tout sur le même ligne)

dans mon fichier actuel.

et je vais tester ton firewall_construction.sh aussi.
EDIT => avec firewall_construction.sh, je perd la connexion.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
16 déc. 2009 à 11:54
Je vais un peu modifier mon fichier firewall.sh et je le repost ici.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
16 déc. 2009 à 12:24
d'ailleurs à l'étape 7, on peut lire :

7) Autorisation du SSH et protection

Maintenant que nous avons vérifié que tout fonctionnait correctement, nous allons pouvoir ajouter des règles pour le SSH

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT "
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 6060 -m state --state NEW -m recent --set --name SSH -j ACCEPT


Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)

Euh => je suis sensé modifier quoi et où ?^^

Car quand je lance le fichier avec ces lignes, ça me donne :


iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.


au niveau de leur exécution.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
16 déc. 2009 à 12:59
au passage : Autoriser la Supervision du serveur, c'est vraiment utile ce truc là ?
0
Re,

Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)

Euh => je suis sensé modifier quoi et où ?^^


Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port

Tu peux faire la modif avec une commande sans avoir besoin d'utiliser un editeur de text
En root
sed -i.orig 's/^Port.*/Port 6060/' /etc/ssh/sshd_config
/etc/init.d/ssh restart


Mais ce n'est qu'en choix, ce n'est pas obligatoire.
Perso, avec le port 22 par defaut et une authentification par clé avec un bonne passe phrase et en utilsant ssh-agent je ne pense pas que tu auras des problèmes.
Mais bon, chacun sa façon de faire les choses.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
16 déc. 2009 à 13:56
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)

Euh => je suis sensé modifier quoi et où ?^^

Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port


C'est la partie IP a modifiée qui me dérange.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
16 déc. 2009 à 14:11
je vais tester ce tutos à la place, il a l'air plus suivi et a jour :)
http://www.siteduzero.com/tutoriel-3-165981-securiser-son-serveur-linux.html
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
16 déc. 2009 à 15:28
me voilà donc avec ça :

#!/bin/sh
echo - Configuration des regles du firewall

#On efface les règles précédentes pour partir sur de bonnes bases
iptables -t filter -F
iptables -t filter -X
echo - Effacement regles precedentes : [OK]

#On bloque par défaut tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Blocage de tout le trafic : [OK]

#On ne ferme pas les connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Maintient des connexions deja etablies : [OK]

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - On autorise le Ping ICMP : [OK]

# SSH
iptables -t filter -A INPUT -p tcp --dport 6060 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 6060 -j ACCEPT
echo - Autorisation du SSH : [OK]

#On autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - autorisation du loopback : [OK]

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
echo - Autorisation du FTP : [OK]

# Autoriser les requetes HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
echo - Autorisation du HTTP : [OK]

# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autorisation du NTP horloge du serveur : [OK]


Et ça marche, sauf que, ça me bloque APT-GET.
Pourquoi? Je croyais que APT-GET utilisais les même port que Apache?
0
Re,

Peut être qu'il faut aussi penser au port 443
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
16 déc. 2009 à 17:16
c'est pour le HTTPS non? je n'en utilise pas.

Edit : j'ai tester avec et ça change rien.
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
17 déc. 2009 à 10:51
pas d'idée pour APT-GET alors?
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346 > aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020
17 déc. 2009 à 13:06
Personne d'autre?
0
bob031 Messages postés 8158 Date d'inscription samedi 7 août 2004 Statut Membre Dernière intervention 1 septembre 2014 472
17 déc. 2009 à 13:24
Bonjour,

une discussion ou je lis ceci :

Je pense qu'il voulais tout simplement (comme moi) connaitre le port utilisé par apt-get (apparement 80 car cela passe par le web).

source : http://forum.ubuntu-fr.org/viewtopic.php?id=85701


.. à confirmer bien sûr !
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
17 déc. 2009 à 13:35
Merci, j'avais déjà vu ça lors de mes recherches, mais ces lignes ne sont pas sensées résoudre le problème ?

# Autoriser les requetes HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
echo - Autorisation du HTTP : [OK]


Sinon quoi mettre?
0
bob031 Messages postés 8158 Date d'inscription samedi 7 août 2004 Statut Membre Dernière intervention 1 septembre 2014 472
17 déc. 2009 à 13:41
même question que dans la discussion citée : apt-get pour quoi faire ?
0
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 2 346
17 déc. 2009 à 13:54
ben pour apt-geté ^^

Mise a jour, nouvelles applications, ...

Car avec la config actuelle, ça ne marche pas. Il me faut remettre iptables dans son état d'origine. Avant mise en place du fichier firewall.
0