Règles iptables pour accès ssh via le net ?

Résolu/Fermé

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 - 23 oct. 2006 à 23:19
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 - 24 oct. 2006 à 23:09

bonjour,

j'essais de creer une règle de filtrage pour accéder à distance à mon serveur ssh tout en etant masqué sur le net.

j'ai d'abord testé cette règle :

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Ca fonctionne mais je ne suis pas masqué sur le net (le port 22 est ouvert)

ensuite j'ai essayé celle-là :

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT

impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Pour info voilà mon script firewall :

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i ra0 -d 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ra0 -p tcp -s 192.168.0.0/24 -d 192.168.0.2/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o ra0 -m state --state ! INVALID -j ACCEPT

J'avoue que les règles iptables, c'est du charabias pour moi et les lectures sur les différents sujets sont très très lourdes :(

merci d'avance pour votre aide.

A+

A voir également:

Règles iptables pour accès ssh via le net ?
Paint net - Télécharger - Dessin & Illustration
Net framework 4.0 - Télécharger - Divers Utilitaires
Acces rapide - Guide
Tableau règles de ponctuation - Guide
Microsoft .net framework 2.0 - Télécharger - Divers Utilitaires

9 réponses

Réponse 1 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
24 oct. 2006 à 19:48

Je ne pense pas que ra0 c'est l'interface qui sort sur net.

essaie

iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT

lami20j

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 20:14

salut lami20j,

si, c'est bien ra0, je suis en wifi. Néanmoins, je vais quand même te faire ifconfig bien que je sois sur du resultat ....

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569 > pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007
24 oct. 2006 à 20:20

Ok, d'accord.

As-tu essayé

 iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT

lami20j

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 20:20

voilà,

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:5 erreurs:0 :0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          Octets reçus:272 (272.0 b) Octets transmis:272 (272.0 b)

ra0       Lien encap:Ethernet  HWaddr 00:13:D3:70:0C:73
          inet adr:192.168.0.4  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::213:d3ff:fe70:c73/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:596 erreurs:0 :0 overruns:0 frame:0
          TX packets:720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:47 lg file transmission:1000
          Octets reçus:103950 (101.5 KiB) Octets transmis:59639 (58.2 KiB)
          Interruption:217

Réponse 2 / 9

kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 1 527
23 oct. 2006 à 23:47

Bonjour,

Comment est organisé ton réseau?
ra0 c'est une interface de sans fil....?
Tu es connecté directement à un modem sans être en mode routeur?

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 00:10

salut killian,

organisation de mon reseau :

1- j'ai 3 ordinateurs:

-1 PC de salon sur lequel se trouve mon serveur ssh (192.168.0.4)
-1 portable (192.168.0.3)
-1 PC de bureau (192.168.0.2)
2-les 3 sont en reseau local (samba)
3-Mes 2 imprimantes sont connecter sur le PC de bureau (192.168.0.2)
4 - la freebox est en mode routeur et le port 22 est redirigé vers le pc de salon (192.168.0.4)

Mon obectif, permettre au PC de ma mère avec IP de "martien " (888.888.888) :D de se connecter à mon serveur ssh.

...

tu as essayé ça? regles iptables pour acces ssh via le net#2

lami20j

Réponse 3 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
23 oct. 2006 à 23:51

Salut,

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT

impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Ben, 802.02.530.2 c'est l'IP que tu veux autoriser donc c'est la source des paquets et pas la destination.

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT

lami20j

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 00:13

ooooh nooonn !!! que je suis i.....!!!!

kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 1 527
24 oct. 2006 à 00:51

Du coup ça fonctionne maintenant? :-)

Réponse 4 / 9

kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 1 527
23 oct. 2006 à 23:53

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
23 oct. 2006 à 23:56

Salut kilian,

ça va?

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Et moi j'ai fait copier/colier :-D puisque je suis perlien :-DDDD

lami20j

kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 1 527
23 oct. 2006 à 23:59

Ca va et toi :-)

Y m'a manqué ce forum pendant que j'avais plus le net..... :'-(

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 9

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 19:33

salut,

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT

ce n'est pas la bonne règle, je ne peux pas acceder à acceder à ssh ... il manque certainement quelquechose

Réponse 6 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
24 oct. 2006 à 19:36

Salut,

affiche le résultat de la commande ifconfig

lami20j

Réponse 7 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
24 oct. 2006 à 20:22

essaie la règle du msg 14

lami20j

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 21:24

Bon, ben en fait le problème c'etait pas la règle mais mon "dyndns". Apparemment, il ne se met pas à jour. Désolé pour le dérangement :(

La première règle etait la bonne et maintenant je suis bien invisible sur le port 22 :)

Merci

Réponse 8 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
24 oct. 2006 à 21:27

La première règle

laquelle?

lami20j

pristella Messages postés 859 Date d'inscription samedi 23 octobre 2004 Statut Contributeur Dernière intervention 8 mai 2007 74
24 oct. 2006 à 23:07

celle-là :

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEP

Réponse 9 / 9

lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
24 oct. 2006 à 23:09

Donc c'était bien ce que j'ai écrit ici regles iptables pour acces ssh via le net#2

lami20j

P.S. Je vais mettre problème résolu :-)

Discussions similaires

Live tiktok

comment donner les droits sur fichier partage

a propos de youppie

message "impossible d'envoyer le message via free erreur 0"

cedric