Problème config firewall sur serveur Debian
Fermé
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
-
15 déc. 2009 à 18:33
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 - 17 déc. 2009 à 13:54
aiglenoirdu29 Messages postés 10205 Date d'inscription mercredi 24 décembre 2008 Statut Contributeur Dernière intervention 5 mai 2020 - 17 déc. 2009 à 13:54
A voir également:
- Problème config firewall sur serveur Debian
- Connaitre sa config pc - Guide
- Changer serveur dns - Guide
- Ms config - Guide
- Passer en root debian ✓ - Forum Debian
- Serveur pop - Guide
16 réponses
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
15 déc. 2009 à 19:49
15 déc. 2009 à 19:49
Bonjour,
Je ne suis malheureusement pas spécialiste .... mais je pense que certaines informations permettraient de faire avancer le sujet :
le fichier des règles iptables (en cachant les données sensibles)
la commande suivante :
Je ne suis malheureusement pas spécialiste .... mais je pense que certaines informations permettraient de faire avancer le sujet :
le fichier des règles iptables (en cachant les données sensibles)
la commande suivante :
iptables -L -nv
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
15 déc. 2009 à 20:15
15 déc. 2009 à 20:15
quelques infos en plus alors :
quand je complète le ficheir firewall comme indique le tutos, sans mettre la ligne qui pose problème et que je le lance ça donne ça :
quand je complète le ficheir firewall comme indique le tutos, sans mettre la ligne qui pose problème et que je le lance ça donne ça :
root [~] > ./firewall.sh Setting firewall rules... - Interdire toute connexion entrante : [OK] - Vidage : [OK] - Bloquer Taiwanais : [OK] - Ne pas casser les connexions établies : [OK] iptables v1.4.2: host/network `IP_SUPERVISION' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.4.2: host/network `IP_SUPERVISION' not found Try `iptables -h' or 'iptables --help' for more information. - Autoriser Supervision : [OK] - Autoriser les requetes DNS, FTP, HTTP : [OK] - Autoriser loopback : [OK] - Autoriser ping : [OK] - Autoriser serveur Apache : [OK] - Autoriser serveur FTP : [OK] ./firewall.sh: line 71: --log-prefix: command not found iptables v1.4.2: Unknown arg `(null)' Try `iptables -h' or 'iptables --help' for more information.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
15 déc. 2009 à 20:16
15 déc. 2009 à 20:16
Ensuite, si je fait un iptables -L -nv
j'obtiens ça :
j'obtiens ça :
root [~] > iptables -L -nv Chain INPUT (policy DROP 10 packets, 676 bytes) pkts bytes target prot opt in out source destination 0 0 LOG_REJECT_SMTP all -- eth0 * 61.64.128.0/17 0.0.0.0/0 0 0 LOG_REJECT_SMTP all -- eth0 * 122.120.0.0/13 0.0.0.0/0 0 0 LOG_REJECT_SMTP all -- eth0 * 168.95.0.0/16 0.0.0.0/0 25 1578 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6060 recent: CHECK seconds: 60 hit_count: 2 name: SSH side: source LOG flags 0 level 4 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6060 recent: UPDATE seconds: 60 hit_count: 2 name: SSH side: source Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 26 packets, 4216 bytes) pkts bytes target prot opt in out source destination 21 2660 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 Chain LOG_REJECT_SMTP (3 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix ` SMTP REJECT PAQUET : ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 root [~] >
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
15 déc. 2009 à 21:00
15 déc. 2009 à 21:00
plutôt donner le :
note : toujours en masquant les données sensibles
sinon comme tu l'as surligné : iptables v1.4.2: host/network `IP_SUPERVISION' not found n'indique rien de bon !
si on se réfère sur la doc, cela vient d'ici :
mais cela ne me parle pas ....
enfin concernant ssh, le tuto dit d'utiliser le port 6060 .... mais est-ce que cela a été reporté dans le fichier de configuration de ssh et dans la configuration du routeur si routeur il y a !
désolé mais je ne suis pas spécialiste ....
cat firewall.sh
note : toujours en masquant les données sensibles
sinon comme tu l'as surligné : iptables v1.4.2: host/network `IP_SUPERVISION' not found n'indique rien de bon !
si on se réfère sur la doc, cela vient d'ici :
# Autoriser la Supervision du serveur (SNMP) iptables -t filter -A INPUT -p tcp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT echo - Autoriser Supervision : [OK]
mais cela ne me parle pas ....
enfin concernant ssh, le tuto dit d'utiliser le port 6060 .... mais est-ce que cela a été reporté dans le fichier de configuration de ssh et dans la configuration du routeur si routeur il y a !
désolé mais je ne suis pas spécialiste ....
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
15 déc. 2009 à 21:20
15 déc. 2009 à 21:20
mon fichier firewall.sh est un fichier vide dans lequel j'ai coller les donnés du tutos. (toujours sauf la ligne qui bloque tout)
pour le shh, tout est ok coté port et routeur.
pour le shh, tout est ok coté port et routeur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
15 déc. 2009 à 21:44
15 déc. 2009 à 21:44
IP_SUPERVISION et VOTRE_IP peuvent être des noms de machines définies dans le /etc/hosts du serveur.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
15 déc. 2009 à 22:22
15 déc. 2009 à 22:22
Tout d'abord merci ;-)
dans hosts j'ai
127.0.0.1 localhost
127.0.1.1 *nomduserveur*
laquelle je met pour IP_SUPERVISION ?
dans hosts j'ai
127.0.0.1 localhost
127.0.1.1 *nomduserveur*
laquelle je met pour IP_SUPERVISION ?
Utilisateur anonyme
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
15 déc. 2009 à 22:47
15 déc. 2009 à 22:47
Ces deux machines semblent être des machines distantes, elles pourraient être la même (par exemple, ta machine distante).
Ton /etc/hosts devrait également comporter les renseignements concernant l'adresse réseau, le hostname est l'alias du serveur, ainsi que ceux concernant ta machine distante.
Ton /etc/hosts devrait également comporter les renseignements concernant l'adresse réseau, le hostname est l'alias du serveur, ainsi que ceux concernant ta machine distante.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
Utilisateur anonyme
15 déc. 2009 à 22:58
15 déc. 2009 à 22:58
c'est tout ce que j'ai dans le haut du fichier, ensuite c'est une partie sur les IPv6.
127.0.0.1 localhost
127.0.1.1 ******
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
****::0 ip6-localnet
****::0 ip6-mcastprefix
****::1 ip6-allnodes
****::2 ip6-allrouters
****::3 ip6-allhosts
J'ai tester avec 127.0.1.1 comme IP_SUPERVISION, mais encore une fois le serveur ma coupé dès l'exécution de la dite ligne qui me posent problème.
Sans elle, je perd pas la connexion shh. Mais avec, le serveur me coupe et ne me répond plus. Obliger d'aller de le couper et de le relancer à l'aide du bouton power.
127.0.0.1 localhost
127.0.1.1 ******
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
****::0 ip6-localnet
****::0 ip6-mcastprefix
****::1 ip6-allnodes
****::2 ip6-allrouters
****::3 ip6-allhosts
J'ai tester avec 127.0.1.1 comme IP_SUPERVISION, mais encore une fois le serveur ma coupé dès l'exécution de la dite ligne qui me posent problème.
iptables -t filter -P OUTPUT DROP
Sans elle, je perd pas la connexion shh. Mais avec, le serveur me coupe et ne me répond plus. Obliger d'aller de le couper et de le relancer à l'aide du bouton power.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
15 déc. 2009 à 23:12
15 déc. 2009 à 23:12
bon aller dodo, je me repencherais là dessus jeudi midi.
Merci
Merci
Salut,
Mets un # devant cette ligne est lance ton firewall.
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Donc tu auras
Mets un # devant cette ligne est lance ton firewall.
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Donc tu auras
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
15 déc. 2009 à 22:59
15 déc. 2009 à 22:59
ça ne change pas la situation :(
ubik
Messages postés
231
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
11 mars 2011
89
16 déc. 2009 à 00:41
16 déc. 2009 à 00:41
@lami20j: ce firewall a tout de même pour ambition de restreindre aussi les connections sortantes. Alors tout autoriser... Et l'idée de commenter la ligne servant à ne pas casser les connections déjà établies, pas terrible non plus.
@aiglenoirdu29: en parcourant le tuto il me vient cette question: es-tu allé jusqu'à l'étape 7?
Je suppose que ce tuto est écrit pour être suivi en étant connecté sur la console, et pas à distance par ssh. Si tu lances le parefeu à la fin de l'étape 6, il devient impossible de se connecter par ssh.
C'est précisément à l'étape 7 qu'on autorise les connexions ssh. Ajoute donc à ton script les commandes décrites dans cette section avant de démarrer le parefeu. Attention au numéro de port ssh: si tu as suivi le tuto depuis le début, tu as effectivement du mettre 6060 au lieu du port 22 standard.
Je ne saurais pas te dire si tu seras déconnecté sur le coup (normalement non), mais en tout cas tu pourras te reconnecter sans avoir à redémarrer le serveur. Et ton pare-feu sera démarré.
Sinon tu n'as pas accès à la console de ce système? Quand on bidouille de la config réseau, ca permet de se déplanter lorsqu'on s'est "enfermé dehors".
@aiglenoirdu29: en parcourant le tuto il me vient cette question: es-tu allé jusqu'à l'étape 7?
Je suppose que ce tuto est écrit pour être suivi en étant connecté sur la console, et pas à distance par ssh. Si tu lances le parefeu à la fin de l'étape 6, il devient impossible de se connecter par ssh.
C'est précisément à l'étape 7 qu'on autorise les connexions ssh. Ajoute donc à ton script les commandes décrites dans cette section avant de démarrer le parefeu. Attention au numéro de port ssh: si tu as suivi le tuto depuis le début, tu as effectivement du mettre 6060 au lieu du port 22 standard.
Je ne saurais pas te dire si tu seras déconnecté sur le coup (normalement non), mais en tout cas tu pourras te reconnecter sans avoir à redémarrer le serveur. Et ton pare-feu sera démarré.
Sinon tu n'as pas accès à la console de ce système? Quand on bidouille de la config réseau, ca permet de se déplanter lorsqu'on s'est "enfermé dehors".
Salut,
@lami20j: ce firewall a tout de même pour ambition de restreindre aussi les connections sortantes. Alors tout autoriser...
Pourquoi cette ambition?!!
Je pense qu'il faut avoir plusieurs infos pour voir si toutes ces règles sont vraiment nécessaires.
Il fait connaître la topologie de réseau.
Les connexions sortantes de qui? Qui va essayer d'initialiser des connexions sortantes depuis le serveur?
D'après le but de serveur il n'y aura que des connexion entrantes. Il s'agit d'une machine serveur.
En revanche si la machine sera serveur/client on pourra discuter pour la nécessité des règles restrictives en OUTPUT.
Mais pour ça je pense qu'on a besoin un peu plus d'infos.
Perso je pense à deux choses.
Il faut d'abord que aiglenoirdu29 nous dis d'abord ce qu'il veut autoriser comme traffic et ensuite construire les règles selon ses besoins.
Copier/coller un script comme ça sans raison, juste puisqu'il est écrit dans le tuto, ça n'a pas de sens pour moi.
Par exemple je vois ça dans le script
étape 4
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
et puis à l'étape 5
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
C'est un peu un doublon?
A la construction d'un firewall il faut d'abord mettre sur le papier la stratégie qu'on veut mettre en place et ensuite construire et tester une par une les règles de firewall
Le copier/coller c'est loin d'être une bonne solution.
@lami20j: ce firewall a tout de même pour ambition de restreindre aussi les connections sortantes. Alors tout autoriser...
Pourquoi cette ambition?!!
Je pense qu'il faut avoir plusieurs infos pour voir si toutes ces règles sont vraiment nécessaires.
Il fait connaître la topologie de réseau.
Les connexions sortantes de qui? Qui va essayer d'initialiser des connexions sortantes depuis le serveur?
D'après le but de serveur il n'y aura que des connexion entrantes. Il s'agit d'une machine serveur.
En revanche si la machine sera serveur/client on pourra discuter pour la nécessité des règles restrictives en OUTPUT.
Mais pour ça je pense qu'on a besoin un peu plus d'infos.
Perso je pense à deux choses.
Il faut d'abord que aiglenoirdu29 nous dis d'abord ce qu'il veut autoriser comme traffic et ensuite construire les règles selon ses besoins.
Copier/coller un script comme ça sans raison, juste puisqu'il est écrit dans le tuto, ça n'a pas de sens pour moi.
Par exemple je vois ça dans le script
étape 4
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
et puis à l'étape 5
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
C'est un peu un doublon?
A la construction d'un firewall il faut d'abord mettre sur le papier la stratégie qu'on veut mettre en place et ensuite construire et tester une par une les règles de firewall
Le copier/coller c'est loin d'être une bonne solution.
Utilisateur anonyme
16 déc. 2009 à 04:35
16 déc. 2009 à 04:35
127.0.0.x c'est une adresse de loopback, c'est très très local.
Il faut indiquer _l'adresse réseau_ des machines, leur nom(, et leur alias).
Quand tu as listé toutes les machines du réseau, tu peux copier ce fichier sur toutes les machines.
man hosts
Il faut indiquer _l'adresse réseau_ des machines, leur nom(, et leur alias).
Quand tu as listé toutes les machines du réseau, tu peux copier ce fichier sur toutes les machines.
man hosts
Re,
D'après le tuto après ces règles ssh est accèssible.
Alors on va tester pour voir ce qui ne vas pas étape par étape
Ecrit dans un fichier que tu l'appelles firewall_construction.sh
Ensuite exécute le script et dit ce qui se passe.
D'après le tuto après ces règles ssh est accèssible.
Alors on va tester pour voir ce qui ne vas pas étape par étape
Ecrit dans un fichier que tu l'appelles firewall_construction.sh
#!/bin/bash echo Setting firewall rules... # # ###### Debut Initialisation ###### # Interdire toute connexion entrante iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP echo - Interdire toute connexion entrante : [OK] # Interdire toute connexion sortante iptables -t filter -P OUTPUT DROP echo - Interdire toute connexion sortante : [OK] # Vider les tables actuelles iptables -t filter -F iptables -t filter -X echo - Vidage : [OK] #Creation d'une chaine iptables -N LOG_REJECT_SMTP iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ' SMTP REJECT PAQUET : ' iptables -A LOG_REJECT_SMTP -j DROP # Anti-Taiwanais iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP echo - Bloquer Taiwanais : [OK] # Ne pas casser les connexions etablies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT echo - Ne pas casser les connexions établies : [OK] # Autoriser la Supervision du serveur (SNMP) iptables -t filter -A INPUT -p tcp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 161 -s IP_SUPERVISION/32 -j ACCEPT echo - Autoriser Supervision : [OK] # Autoriser les requetes DNS, FTP, HTTP, NTP iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT echo - Autoriser les requetes DNS, FTP, HTTP : [OK] # Autoriser loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT echo - Autoriser loopback : [OK] # Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT echo - Autoriser ping : [OK] # donc ici il dit : Pour le moment tout est bloqué sauf le SSH, nous allons ajouter des exceptions au blocage:
Ensuite exécute le script et dit ce qui se passe.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
16 déc. 2009 à 10:14
16 déc. 2009 à 10:14
@ ubik : oui j'ai été jusqu'à l'étape 7,
d'ailleurs j'ai un problème avec cette ligne :
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG
--log-prefix "SSH REJECT " <=== ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 6060 -m state --state NEW -m recent --set --name SSH -j ACCEPT
le serveur est dans un coin, sans écran ni clavier, donc a part appuyer sur le bouton (il comprend qu'il doit s'éteindre, je ne l'éteint pas de force) et appuyer pour le rallumer. J'ai configuré l'accès SSH pour ne pas avoir a piqué l'écran et clavier de ma copine en permanence :)
@lami20j
Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non? Car pour le moment pas de serveur Mail, ni DNS.
Coté architecture ça donne Box FAI <=> Serveur + 1 PC ubuntu + un Mac
je test ça dès ce midi
d'ailleurs j'ai un problème avec cette ligne :
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG
--log-prefix "SSH REJECT " <=== ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 6060 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Sinon tu n'as pas accès à la console de ce système? Quand on bidouille de la config réseau, ca permet de se déplanter lorsqu'on s'est "enfermé dehors".
le serveur est dans un coin, sans écran ni clavier, donc a part appuyer sur le bouton (il comprend qu'il doit s'éteindre, je ne l'éteint pas de force) et appuyer pour le rallumer. J'ai configuré l'accès SSH pour ne pas avoir a piqué l'écran et clavier de ma copine en permanence :)
@lami20j
Je pense qu'il faut avoir plusieurs infos pour voir si toutes ces règles sont vraiment nécessaires.
Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non? Car pour le moment pas de serveur Mail, ni DNS.
Coté architecture ça donne Box FAI <=> Serveur + 1 PC ubuntu + un Mac
Ensuite exécute le script et dit ce qui se passe.
je test ça dès ce midi
Re,
ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
Oui.
Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non?
Justement, c'est ça que j'ai compris.
Franchement en OUTPUT tu peux laisser tout sortir.
ça ne serais pas plutôt le prolongement de la précédente plutôt qu'une nouvelle ligne?
Oui.
Ce serveur est pour héberger un site web, donc j'ai besoin qu'Apache puisse être accessible, le FTP, le SSH et je pense que c'est tout non?
Justement, c'est ça que j'ai compris.
Franchement en OUTPUT tu peux laisser tout sortir.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
16 déc. 2009 à 11:33
16 déc. 2009 à 11:33
Ok, donc je laisse
comme ça :
ça :
je le transforme en ça :
dans mon fichier actuel.
et je vais tester ton firewall_construction.sh aussi.
EDIT => avec firewall_construction.sh, je perd la connexion.
# Interdire toute connexion sortante iptables -t filter -P OUTPUT DROP echo - Interdire toute connexion sortante : [OK]
comme ça :
# Interdire toute connexion sortante #iptables -t filter -P OUTPUT DROP #echo - Interdire toute connexion sortante : [OK]
ça :
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT " (deux lignes)
je le transforme en ça :
iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT "(tout sur le même ligne)
dans mon fichier actuel.
et je vais tester ton firewall_construction.sh aussi.
EDIT => avec firewall_construction.sh, je perd la connexion.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
16 déc. 2009 à 11:54
16 déc. 2009 à 11:54
Je vais un peu modifier mon fichier firewall.sh et je le repost ici.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
16 déc. 2009 à 12:24
16 déc. 2009 à 12:24
d'ailleurs à l'étape 7, on peut lire :
7) Autorisation du SSH et protection
Maintenant que nous avons vérifié que tout fonctionnait correctement, nous allons pouvoir ajouter des règles pour le SSH
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)
Euh => je suis sensé modifier quoi et où ?^^
Car quand je lance le fichier avec ces lignes, ça me donne :
au niveau de leur exécution.
7) Autorisation du SSH et protection
Maintenant que nous avons vérifié que tout fonctionnait correctement, nous allons pouvoir ajouter des règles pour le SSH
# Autoriser SSH iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT " iptables -t filter -A INPUT -p tcp --dport 6060 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP iptables -t filter -A INPUT -p tcp --dport 6060 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)
Euh => je suis sensé modifier quoi et où ?^^
Car quand je lance le fichier avec ces lignes, ça me donne :
iptables v1.4.2: Unknown arg `(null)' Try `iptables -h' or 'iptables --help' for more information.
au niveau de leur exécution.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
16 déc. 2009 à 12:59
16 déc. 2009 à 12:59
au passage : Autoriser la Supervision du serveur, c'est vraiment utile ce truc là ?
Re,
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)
Euh => je suis sensé modifier quoi et où ?^^
Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port
Tu peux faire la modif avec une commande sans avoir besoin d'utiliser un editeur de text
En root
Mais ce n'est qu'en choix, ce n'est pas obligatoire.
Perso, avec le port 22 par defaut et une authentification par clé avec un bonne passe phrase et en utilsant ssh-agent je ne pense pas que tu auras des problèmes.
Mais bon, chacun sa façon de faire les choses.
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)
Euh => je suis sensé modifier quoi et où ?^^
Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port
Tu peux faire la modif avec une commande sans avoir besoin d'utiliser un editeur de text
En root
sed -i.orig 's/^Port.*/Port 6060/' /etc/ssh/sshd_config /etc/init.d/ssh restart
Mais ce n'est qu'en choix, ce n'est pas obligatoire.
Perso, avec le port 22 par defaut et une authentification par clé avec un bonne passe phrase et en utilsant ssh-agent je ne pense pas que tu auras des problèmes.
Mais bon, chacun sa façon de faire les choses.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
16 déc. 2009 à 13:56
16 déc. 2009 à 13:56
Changez bien le port 6060 par celui que vous avez finalement choisi et modifiez votre IP (3 premières séries .0)
Euh => je suis sensé modifier quoi et où ?^^
Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port
C'est la partie IP a modifiée qui me dérange.
Euh => je suis sensé modifier quoi et où ?^^
Ben, dans le tuto il est écrit.
Il s'agit de fichier de configuration de ssh, voici son chemin complet /etc/ssh/sshd_config
A l'intérieur de fichier tu as une directive Port
C'est la partie IP a modifiée qui me dérange.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
16 déc. 2009 à 14:11
16 déc. 2009 à 14:11
je vais tester ce tutos à la place, il a l'air plus suivi et a jour :)
http://www.siteduzero.com/tutoriel-3-165981-securiser-son-serveur-linux.html
http://www.siteduzero.com/tutoriel-3-165981-securiser-son-serveur-linux.html
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
16 déc. 2009 à 15:28
16 déc. 2009 à 15:28
me voilà donc avec ça :
Et ça marche, sauf que, ça me bloque APT-GET.
Pourquoi? Je croyais que APT-GET utilisais les même port que Apache?
#!/bin/sh echo - Configuration des regles du firewall #On efface les règles précédentes pour partir sur de bonnes bases iptables -t filter -F iptables -t filter -X echo - Effacement regles precedentes : [OK] #On bloque par défaut tout le trafic iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP echo - Blocage de tout le trafic : [OK] #On ne ferme pas les connexions déjà établies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT echo - Maintient des connexions deja etablies : [OK] # ICMP (Ping) iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT echo - On autorise le Ping ICMP : [OK] # SSH iptables -t filter -A INPUT -p tcp --dport 6060 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 6060 -j ACCEPT echo - Autorisation du SSH : [OK] #On autorise le loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT echo - autorisation du loopback : [OK] # Autoriser les requetes FTP iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT echo - Autorisation du FTP : [OK] # Autoriser les requetes HTTP iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT echo - Autorisation du HTTP : [OK] # NTP (horloge du serveur) iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT echo - Autorisation du NTP horloge du serveur : [OK]
Et ça marche, sauf que, ça me bloque APT-GET.
Pourquoi? Je croyais que APT-GET utilisais les même port que Apache?
Re,
Peut être qu'il faut aussi penser au port 443
Peut être qu'il faut aussi penser au port 443
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
16 déc. 2009 à 17:16
16 déc. 2009 à 17:16
c'est pour le HTTPS non? je n'en utilise pas.
Edit : j'ai tester avec et ça change rien.
Edit : j'ai tester avec et ça change rien.
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
17 déc. 2009 à 10:51
17 déc. 2009 à 10:51
pas d'idée pour APT-GET alors?
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
>
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
17 déc. 2009 à 13:06
17 déc. 2009 à 13:06
Personne d'autre?
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
17 déc. 2009 à 13:24
17 déc. 2009 à 13:24
Bonjour,
une discussion ou je lis ceci :
Je pense qu'il voulais tout simplement (comme moi) connaitre le port utilisé par apt-get (apparement 80 car cela passe par le web).
source : http://forum.ubuntu-fr.org/viewtopic.php?id=85701
.. à confirmer bien sûr !
une discussion ou je lis ceci :
Je pense qu'il voulais tout simplement (comme moi) connaitre le port utilisé par apt-get (apparement 80 car cela passe par le web).
source : http://forum.ubuntu-fr.org/viewtopic.php?id=85701
.. à confirmer bien sûr !
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
17 déc. 2009 à 13:35
17 déc. 2009 à 13:35
Merci, j'avais déjà vu ça lors de mes recherches, mais ces lignes ne sont pas sensées résoudre le problème ?
Sinon quoi mettre?
# Autoriser les requetes HTTP iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT echo - Autorisation du HTTP : [OK]
Sinon quoi mettre?
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
17 déc. 2009 à 13:41
17 déc. 2009 à 13:41
même question que dans la discussion citée : apt-get pour quoi faire ?
aiglenoirdu29
Messages postés
10205
Date d'inscription
mercredi 24 décembre 2008
Statut
Contributeur
Dernière intervention
5 mai 2020
2 346
17 déc. 2009 à 13:54
17 déc. 2009 à 13:54
ben pour apt-geté ^^
Mise a jour, nouvelles applications, ...
Car avec la config actuelle, ça ne marche pas. Il me faut remettre iptables dans son état d'origine. Avant mise en place du fichier firewall.
Mise a jour, nouvelles applications, ...
Car avec la config actuelle, ça ne marche pas. Il me faut remettre iptables dans son état d'origine. Avant mise en place du fichier firewall.