[iptable] j'en ai besoin rapidement svp

Résolu
fabrice11901 Messages postés 787 Statut Membre -  
 Eley -
Bonjour
Est-ce que quelqu'un pourrai me faire un script iptable en m'acceptant que le port 80,22 après les autres ports je peux les rajouter moi même en prenant sur ces deux conditions.
Mais je voudrai des explications je tape quoi sous ssh pour faire telle chose et telle chose.
Je suis près à vous l'acheter contre des codes allopass.
Merci d'avance

--
C'est bizarre, on en apprend tous les jours même quand on ne s'informe pas !!!!
Configuration: carte mere asus k8n4e, processeur : sempron 3300+, disque dur 80go mémoire : 512...

54 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La problématique porte sur la création d'un script iptables autorisant uniquement les ports 22 et 80, tout en laissant la possibilité d'ajouter d'autres ports et avec des explications sur les commandes SSH.
Plusieurs réponses suggèrent de créer des règles explicites autorisant uniquement les ports 22 et 80 en input, puis de définir les états NEW, RELATED et ESTABLISHED pour améliorer la sécurité.
D'autres conseils préconisent d'utiliser des ports individuels plutôt que des plages et d'éviter les ouvertures non vérifiées, tout en indiquant comment tester via iptables -L -n -v et préparer les scripts.
En complément, il est recommandé d'adapter l'interface réseau et de sauvegarder les règles iptables avec iptables-save pour restaurer rapidement en cas de blocage éventuel futur.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Salut,
    #! /bin/sh
    #
    # Description: configuration de firewall netfilter/iptables
    #
    # Initialization de la table FILTER
    #
    iptables -F
    iptables -X
    iptables -P INPUT   DROP 
    iptables -P OUTPUT  DROP
    iptables -P FORWARD DROP # les 3 cmd = debranchement des cables
    
    # Initialization de la table NAT
    #
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -P PREROUTING    ACCEPT
    iptables -t nat -P POSTROUTING   ACCEPT
    iptables -t nat -P OUTPUT        ACCEPT
    #
    # Initialisation de la table MANGLE
    #
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t mangle -P PREROUTING    ACCEPT
    iptables -t mangle -P INPUT         ACCEPT
    iptables -t mangle -P OUTPUT        ACCEPT
    iptables -t mangle -P FORWARD       ACCEPT
    iptables -t mangle -P POSTROUTING   ACCEPT
    
    # interface lo
    iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
    iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
    
    #                            table FILTER
    #
    # chaque commande est sur une seule ligne
    #
    # remplace eth0 avec ton interface
    # et xxx.xxx.xxx.xxx avec IP de ton interface
    iptables -A INPUT -i eth0 -d xxx.xxx.xxx.xxx -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # accepter l'accès pour IP yyy.yyy.yyy.yyy aux ports 22 et 80
    iptables -A INPUT -i eth0 -p tcp -s yyy.yyy.yyy.yyy -d xxx.xxx.xxx.xxx --dport 22:80 -j ACCEPT
    
    #
    iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
    lami20j

    P.S. Pour comprendre lit linux installation d un firewall
    0
  2. fabrice11901 Messages postés 787 Statut Membre 64
     
    Salut et merci
    Peux-tu me dire qu'est-ce que tu appelle l'interface?
    puis les 000/00 qu'on voit ça sers à quoi? les iiiiiiii ? et je dois placer ce code ou ? quelle commande pour démarrer/arrêter le firewall?
    merci
    0
  3. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Re,

    Peux-tu me dire qu'est-ce que tu appelle l'interface?

    Interface réseau : eth0, eth1, wan0, etc...

    puis les 000/00 qu'on voit ça sers à quoi? les iiiiiiii ?

    Une adresse IP a une masque réseau.

    On peut l'écrire IP/NetMask
    Ex : 192.168.0.1/255.255.255.0
    ou en utilisant la notation IP/longueur préfixe

    longueur préfixe = le nombre de bits de la partie réseau de l'IP
    Ex: 192.168.0.1/24
    La partie réseau est 192.168.0 qui fait 3 * 8 bits = 24

    0.0.0.0/0 designe la route par défaut

    et je dois placer ce code ou ? quelle commande pour démarrer?

    ubuntu reseau#30

    arrêter le firewall?
    #! /bin/sh
    #
    # Description:  firewall netfilter/iptables est maintenant ouvert
    #
    # Initialization de la table FILTER
    #
    iptables -F
    iptables -X
    iptables -P INPUT   ACCEPT
    iptables -P OUTPUT  ACCEPT
    iptables -P FORWARD ACCEPT
    
    # Initialization de la table NAT
    #
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -P PREROUTING    ACCEPT
    iptables -t nat -P POSTROUTING   ACCEPT
    iptables -t nat -P OUTPUT        ACCEPT
    #
    # Initialisation de la table MANGLE
    #
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t mangle -P PREROUTING    ACCEPT
    iptables -t mangle -P INPUT         ACCEPT
    iptables -t mangle -P OUTPUT        ACCEPT
    iptables -t mangle -P FORWARD       ACCEPT
    iptables -t mangle -P POSTROUTING   ACCEPT


    lami20j
    0
  4. fabrice11901 Messages postés 787 Statut Membre 64
     
    Mon interface je ne la connais pas c'est un dédié que j'ai chez dedibox je n'ai qu'une ip publique...
    quand je demande ou placer le script c'est dans quel chemin /etc/...?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Alors tu n'as pas lu le lien que je t'ai donné

    Une fois le fichier créer voilà les manipulations à suivre en tant que root
    chmod -v 0755 /home/fabrice/fw_start.sh
    echo "/home/fabrice/fw_start.sh" >> /etc/init.d/rc.local
    chmod -v 0744 /etc/init.d/rc.local
    update-rc.d rc.local start 99 2 3 4 5 .
    /etc/init.d/rc.local
    
    Au prochain rédemarrage tu n'auras rien à taper, le firewall sera configurer.

    lami20j

    P.S c'est un firewall minimal dans le sens que tu peux aller où tu veux et personne ne peut entrer chez toi.
    0
  7. fabrice11901 Messages postés 787 Statut Membre 64
     
    si j'ai lu la page, mais moi je n'ai pas de répertoires /home mais /var un /boot un / et un soip pour le systhème et je n'ai qu'une ip public pas de 192
    0
  8. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Affiche le résultat de la commande
    ls -l /
    Merci.

    lami20j
    0
  9. fabrice11901 Messages postés 787 Statut Membre 64
     
    Y a trop de ligne ! c'est en ssh mais j'ai des root root etc tu veux savoir quoi exactement
    0
  10. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Re,

    tu veux savoir quoi exactement

    Ce que je veux savoir peu importe ;)

    Si je comprends bien tu te connect sur un server ssh. C'est bien ça?

    lami20j
    0
  11. fabrice11901 Messages postés 787 Statut Membre 64
     
    exactement en ssh
    0
  12. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Et si j'ai continue mon raisonnement tu veux configurer le firewall du serveur?

    lami20j
    0
  13. fabrice11901 Messages postés 787 Statut Membre 64
     
    Oui exact
    je voudrai accepter que le 80, 22, 21, 53 les serveurs pop et smtp et je crois que c'est tout pour ne laisser que le principal pour les sites webs
    merci
    0
  14. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    ok

    tape sur le pc client (donc chez toi)
    ssh ton_compte_sur_serveur@ip_serveur ls -l / > racine_serveur
    ensuite affiche ici le contenu du fichier racine_serveur

    lami20j
    0
  15. fabrice11901 Messages postés 787 Statut Membre 64
     
    J'utilise putty pour me connecter à mon serveur, je ne peux pas faire copier coller puis les atachement sont pas en option sur les messages...
    0
  16. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Re,

    si j'ai bien compri dedibox est basée sur Ubuntu

    Il ne faut pas prendre tout à la lettre. Quand j'ai dit /home/... il faut penser plutôt à un répertoire et pas strictement à /home/

    Pareil pour le nom de script.

    Donc le principe n'est pas compliqué.

    Tu te connectes sur ton compte avec ssh.

    TU edites sur place les fichiers (s'il faut le faire à la main, alors il faut le faire - d'ailleurs c'est ça que j'ai fait )

    Normalement tu dois avoir le répertoire /etc/init.d sur le serveur

    Donc tu crées 2 fichiers /etc/init.d/iptables_start et /etc/init.d/iptables_stop

    Ensuite tu applique la procédure que je t'ai décrit plus haut avec chmod, update-rc.d...

    Et s'il n'y a pas la commande update-rc.d alors tu peux créer les liens à la main.

    lami20j

    P.S. Peut être je dit des bêtises, mais ce que je dit c'est déjà testé sur debian et ubuntu
    0
  17. fabrice11901 Messages postés 787 Statut Membre 64
     
    J'ai bien /etc/init.d pour démarrer/arrêter des services.
    Donc je place quoi dans /etc/init.d/iptable_start et dans /etc/init.d/iptable_stop?
    merci
    0
  18. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Oui.

    Ensuite tu fait

    Pour start
    
    chmod -v 0744 /etc/init.d/iptables_start
    update-rc.d iptables_start start 99 2 3 4 5 .
    
    Pour stop
    
    chmod -v 0744 /etc/init.d/iptables_stop
    update-rc.d iptables_stop start 99 2 3 4 5 .
    lami20j
    0
  19. fabrice11901 Messages postés 787 Statut Membre 64
     
    Donc je créé les deux fichiers
    je tape les deux lignes par fichier que tu viens de me donner après je place quoi dans quoi.
    Merci de ton aide rapide...
    0
  20. lami20j Messages postés 21506 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 571
     
    Tu peux bien sûr le démarrer tout simplement avec la commande

    /etc/init.d/iptables_start

    et l'arrêté avec

    /etc/init.d/iptables_stop

    Bien sûr une façon elegante sera de créer un script /etc/init.d/iptables

    avec la forme
    
    #! /bin/sh
    
    case $1 in
    
    'start')
               /chemin/vers/iptables_start
              ;;
    'stop')
              /chemin/vers/iptables_stop
              ;;
    '*')
              echo "Usage : /etc/init.d/iptables {start|stop}
              ;;
    esac
    Et puis
    chmod -v 0744 /etc/init.d/iptables
    update-rc.d iptables start 99 2 3 4 5 .

    lami20j
    0
  21. fabrice11901 Messages postés 787 Statut Membre 64
     
    oui donc je créé un autre fichier iptable avec le code que tu m'a donné, met je met quoi dans iptables_star et iptables_stop
    merci
    0
  • 1
  • 2
  • 3