Sujet Précédent Sujet Suivant

Règles iptables pour accès ssh via le net ?

Résolu/Fermé
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 - 23 oct. 2006 à 23:19
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 - 24 oct. 2006 à 23:09
bonjour,

j'essais de creer une règle de filtrage pour accéder à distance à mon serveur ssh tout en etant masqué sur le net.

j'ai d'abord testé cette règle : 

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Ca fonctionne mais je ne suis pas masqué sur le net (le port 22 est ouvert)

ensuite j'ai essayé celle-là : 

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT


impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Pour info voilà mon script firewall : 

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i ra0 -d 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ra0 -p tcp -s 192.168.0.0/24 -d 192.168.0.2/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o ra0 -m state --state ! INVALID -j ACCEPT


J'avoue que les règles iptables, c'est du charabias pour moi et les lectures sur les différents sujets sont très très lourdes :(

merci d'avance pour votre aide.

A+

9 réponses

Réponse 1 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
24 oct. 2006 à 19:48
Je ne pense pas que ra0 c'est l'interface qui sort sur net.

essaie
iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
2
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 20:14
salut lami20j,

si, c'est bien ra0, je suis en wifi. Néanmoins, je vais quand même te faire ifconfig bien que je sois sur du resultat ....
0
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565 > pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
24 oct. 2006 à 20:20
Ok, d'accord.

As-tu essayé
 iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
0
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 20:20
voilà, 

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:5 erreurs:0 :0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          Octets reçus:272 (272.0 b) Octets transmis:272 (272.0 b)

ra0       Lien encap:Ethernet  HWaddr 00:13:D3:70:0C:73
          inet adr:192.168.0.4  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::213:d3ff:fe70:c73/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:596 erreurs:0 :0 overruns:0 frame:0
          TX packets:720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:47 lg file transmission:1000
          Octets reçus:103950 (101.5 KiB) Octets transmis:59639 (58.2 KiB)
          Interruption:217
0
Réponse 2 / 9
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
 1 523
23 oct. 2006 à 23:47
Bonjour,

Comment est organisé ton réseau?
ra0 c'est une interface de sans fil....?
Tu es connecté directement à un modem sans être en mode routeur?

0
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 00:10
salut killian,

organisation de mon reseau :

1- j'ai 3 ordinateurs:

-1 PC de salon sur lequel se trouve mon serveur ssh (192.168.0.4)
-1 portable (192.168.0.3)
-1 PC de bureau (192.168.0.2)
2-les 3 sont en reseau local (samba)
3-Mes 2 imprimantes sont connecter sur le PC de bureau (192.168.0.2)
4 - la freebox est en mode routeur et le port 22 est redirigé vers le pc de salon (192.168.0.4)

Mon obectif, permettre au PC de ma mère avec IP de "martien " (888.888.888) :D de se connecter à mon serveur ssh.

...
0
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565 > pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
24 oct. 2006 à 00:12
tu as essayé ça? regles iptables pour acces ssh via le net#2

lami20j
0
Réponse 3 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
23 oct. 2006 à 23:51
Salut,

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT



impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Ben, 802.02.530.2 c'est l'IP que tu veux autoriser donc c'est la source des paquets et pas la destination.
iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
0
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 00:13
ooooh nooonn !!! que je suis i.....!!!!
0
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
 1 523
24 oct. 2006 à 00:51
Du coup ça fonctionne maintenant? :-)
0
Réponse 4 / 9
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
 1 523
23 oct. 2006 à 23:53
Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien
0
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
23 oct. 2006 à 23:56
Salut kilian,

ça va?

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Et moi j'ai fait copier/colier :-D puisque je suis perlien :-DDDD

lami20j
0
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
 1 523
23 oct. 2006 à 23:59
Ca va et toi :-)

Y m'a manqué ce forum pendant que j'avais plus le net..... :'-(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 19:33
salut, 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT


ce n'est pas la bonne règle, je ne peux pas acceder à acceder à ssh ... il manque certainement quelquechose
0
Réponse 6 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
24 oct. 2006 à 19:36
Salut,

affiche le résultat de la commande ifconfig

lami20j
0
Réponse 7 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
24 oct. 2006 à 20:22
essaie la règle du msg 14

lami20j
0
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 21:24
Bon, ben en fait le problème c'etait pas la règle mais mon "dyndns". Apparemment, il ne se met pas à jour. Désolé pour le dérangement :(

La première règle etait la bonne et maintenant je suis bien invisible sur le port 22 :)

Merci
0
Réponse 8 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
24 oct. 2006 à 21:27
La première règle

laquelle?

lami20j
0
pristella
Messages postés
859
Date d'inscription
samedi 23 octobre 2004
Statut
Contributeur
Dernière intervention
8 mai 2007
 73
24 oct. 2006 à 23:07
celle-là : 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEP
T
0
Réponse 9 / 9
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
 3 565
24 oct. 2006 à 23:09
Donc c'était bien ce que j'ai écrit ici regles iptables pour acces ssh via le net#2

lami20j

P.S. Je vais mettre problème résolu :-)
0