Règles iptables pour accès ssh via le net ?

Résolu
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   -  
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
bonjour,

j'essais de creer une règle de filtrage pour accéder à distance à mon serveur ssh tout en etant masqué sur le net.

j'ai d'abord testé cette règle :

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Ca fonctionne mais je ne suis pas masqué sur le net (le port 22 est ouvert)

ensuite j'ai essayé celle-là :

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT


impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Pour info voilà mon script firewall :

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i ra0 -d 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ra0 -p tcp -s 192.168.0.0/24 -d 192.168.0.2/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o ra0 -m state --state ! INVALID -j ACCEPT


J'avoue que les règles iptables, c'est du charabias pour moi et les lectures sur les différents sujets sont très très lourdes :(

merci d'avance pour votre aide.

A+
A voir également:

9 réponses

lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
Je ne pense pas que ra0 c'est l'interface qui sort sur net.

essaie
iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
2
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
salut lami20j,

si, c'est bien ra0, je suis en wifi. Néanmoins, je vais quand même te faire ifconfig bien que je sois sur du resultat ....
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569 > pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention  
 
Ok, d'accord.

As-tu essayé
 iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
0
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
voilà,

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:5 erreurs:0 :0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          Octets reçus:272 (272.0 b) Octets transmis:272 (272.0 b)

ra0       Lien encap:Ethernet  HWaddr 00:13:D3:70:0C:73
          inet adr:192.168.0.4  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::213:d3ff:fe70:c73/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:596 erreurs:0 :0 overruns:0 frame:0
          TX packets:720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:47 lg file transmission:1000
          Octets reçus:103950 (101.5 KiB) Octets transmis:59639 (58.2 KiB)
          Interruption:217
0
kilian Messages postés 8732 Date d'inscription   Statut Modérateur Dernière intervention   1 526
 
Bonjour,

Comment est organisé ton réseau?
ra0 c'est une interface de sans fil....?
Tu es connecté directement à un modem sans être en mode routeur?

0
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
salut killian,

organisation de mon reseau :

1- j'ai 3 ordinateurs:

-1 PC de salon sur lequel se trouve mon serveur ssh (192.168.0.4)
-1 portable (192.168.0.3)
-1 PC de bureau (192.168.0.2)
2-les 3 sont en reseau local (samba)
3-Mes 2 imprimantes sont connecter sur le PC de bureau (192.168.0.2)
4 - la freebox est en mode routeur et le port 22 est redirigé vers le pc de salon (192.168.0.4)

Mon obectif, permettre au PC de ma mère avec IP de "martien " (888.888.888) :D de se connecter à mon serveur ssh.

...
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569 > pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention  
 
tu as essayé ça? regles iptables pour acces ssh via le net#2

lami20j
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
Salut,

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT



impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).


Ben, 802.02.530.2 c'est l'IP que tu veux autoriser donc c'est la source des paquets et pas la destination.
iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
0
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
ooooh nooonn !!! que je suis i.....!!!!
0
kilian Messages postés 8732 Date d'inscription   Statut Modérateur Dernière intervention   1 526
 
Du coup ça fonctionne maintenant? :-)
0
kilian Messages postés 8732 Date d'inscription   Statut Modérateur Dernière intervention   1 526
 
Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
Salut kilian,

ça va?

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Et moi j'ai fait copier/colier :-D puisque je suis perlien :-DDDD

lami20j
0
kilian Messages postés 8732 Date d'inscription   Statut Modérateur Dernière intervention   1 526
 
Ca va et toi :-)

Y m'a manqué ce forum pendant que j'avais plus le net..... :'-(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
salut,

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT


ce n'est pas la bonne règle, je ne peux pas acceder à acceder à ssh ... il manque certainement quelquechose
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
Salut,

affiche le résultat de la commande ifconfig

lami20j
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
essaie la règle du msg 14

lami20j
0
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
Bon, ben en fait le problème c'etait pas la règle mais mon "dyndns". Apparemment, il ne se met pas à jour. Désolé pour le dérangement :(

La première règle etait la bonne et maintenant je suis bien invisible sur le port 22 :)

Merci
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
La première règle

laquelle?

lami20j
0
pristella Messages postés 859 Date d'inscription   Statut Contributeur Dernière intervention   74
 
celle-là :

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEP
T
0
lami20j Messages postés 21331 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   3 569
 
Donc c'était bien ce que j'ai écrit ici regles iptables pour acces ssh via le net#2

lami20j

P.S. Je vais mettre problème résolu :-)
0