Iptables
Résolu/Fermé
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
-
23 oct. 2007 à 16:07
kisscool_ Messages postés 48 Date d'inscription jeudi 21 décembre 2006 Statut Membre Dernière intervention 10 octobre 2008 - 25 oct. 2007 à 18:46
kisscool_ Messages postés 48 Date d'inscription jeudi 21 décembre 2006 Statut Membre Dernière intervention 10 octobre 2008 - 25 oct. 2007 à 18:46
11 réponses
kisscool_
Messages postés
48
Date d'inscription
jeudi 21 décembre 2006
Statut
Membre
Dernière intervention
10 octobre 2008
1
23 oct. 2007 à 19:15
23 oct. 2007 à 19:15
Bonjour,
Peux tu nous mettre ton script complet, cela sera plus parlant je pense ?
Personnellement j'ai du mal avec ce que tu nous montre.
Merci :)
Peux tu nous mettre ton script complet, cela sera plus parlant je pense ?
Personnellement j'ai du mal avec ce que tu nous montre.
Merci :)
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
23 oct. 2007 à 20:57
23 oct. 2007 à 20:57
Voilà Kisskool
#!/bin/sh
#activation du forward
echo 1 > /proc/sys/net/ipv4/ip_forward
#Anti Spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nous vidons toutes les chaines
iptables -F
# Nous supprimons les chaines non standards
iptables -X
# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Accept CHAINE
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# La machine locale est sure
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Resolution DNS pour le firewall
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
# Messenger
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --sport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT
# P2P
iptables -A OUTPUT -p tcp --sport 7564 -j ACCEPT
iptables -A INPUT -p tcp --dport 7564 -j ACCEPT
iptables -A OUTPUT -p udp --sport 7574 -j ACCEPT
iptables -A OUTPUT -p udp --dport 7574 -j ACCEPT
# IRC
iptables -A INPUT -p tcp --sport 6667 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT
# connexions Firewall-Internet (www)
iptables -A OUTPUT -p tcp --dport 80 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall -Internet (pop)
iptables -A OUTPUT -p tcp --dport 110 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (imap)
iptables -A OUTPUT -p tcp --dport 143 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 143 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (imaps)
iptables -A OUTPUT -p tcp --dport 993 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 993 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (smtp)
iptables -A OUTPUT -p tcp --dport 25 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ouverture pour le serveur ssh
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# Ouverture pour le serveur web
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#autoriser ftp
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# Fin du fichier
#!/bin/sh
#activation du forward
echo 1 > /proc/sys/net/ipv4/ip_forward
#Anti Spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nous vidons toutes les chaines
iptables -F
# Nous supprimons les chaines non standards
iptables -X
# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Accept CHAINE
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# La machine locale est sure
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Resolution DNS pour le firewall
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
# Messenger
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --sport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT
# P2P
iptables -A OUTPUT -p tcp --sport 7564 -j ACCEPT
iptables -A INPUT -p tcp --dport 7564 -j ACCEPT
iptables -A OUTPUT -p udp --sport 7574 -j ACCEPT
iptables -A OUTPUT -p udp --dport 7574 -j ACCEPT
# IRC
iptables -A INPUT -p tcp --sport 6667 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT
# connexions Firewall-Internet (www)
iptables -A OUTPUT -p tcp --dport 80 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall -Internet (pop)
iptables -A OUTPUT -p tcp --dport 110 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (imap)
iptables -A OUTPUT -p tcp --dport 143 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 143 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (imaps)
iptables -A OUTPUT -p tcp --dport 993 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 993 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions firewall-Internet (smtp)
iptables -A OUTPUT -p tcp --dport 25 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ouverture pour le serveur ssh
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# Ouverture pour le serveur web
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#autoriser ftp
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# Fin du fichier
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
23 oct. 2007 à 21:05
23 oct. 2007 à 21:05
en faites dans le poste d'avant c'est ça qui me chagrine : 0.0.0.0/0 0.0.0.0/0 ne devrait il pas y avoir d'ip ?
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
23 oct. 2007 à 21:13
23 oct. 2007 à 21:13
Bonjour,
ne devrait il pas y avoir d'ip ?
n'est-ce pas parce que, justement, aucune IP n'est spécifiée dans le script ?
:-))
ne devrait il pas y avoir d'ip ?
n'est-ce pas parce que, justement, aucune IP n'est spécifiée dans le script ?
:-))
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
23 oct. 2007 à 21:17
23 oct. 2007 à 21:17
Alors Oui c'est fort Possible! seulement je ne sais pas ou mettre cette ip tu me file un petit coup de main?
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
23 oct. 2007 à 21:20
23 oct. 2007 à 21:20
mais alors comment se fait il que mon firewall fonctionne il bloque bien l'acces à certain service notament msn si j'ouvre pas le port dans iptables la conexion est impossible dc c'est qu'il fonctionne ? alors que je n'ai specifier d'ip nullepart
bob031
Messages postés
8158
Date d'inscription
samedi 7 août 2004
Statut
Membre
Dernière intervention
1 septembre 2014
472
23 oct. 2007 à 21:24
23 oct. 2007 à 21:24
ben je suppose qu'il suffit de remplacer "eth0" par l'IP de la machine !
maintenant est-ce que ça change grand chose ? J'en sais fichtrement rien pour être franc !
:-))
maintenant est-ce que ça change grand chose ? J'en sais fichtrement rien pour être franc !
:-))
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
23 oct. 2007 à 21:26
23 oct. 2007 à 21:26
Oui,non merci j'en doute fort puisque c'est pour indiquer sur quelle interface faire agire les regles
kisscool_
Messages postés
48
Date d'inscription
jeudi 21 décembre 2006
Statut
Membre
Dernière intervention
10 octobre 2008
1
23 oct. 2007 à 23:09
23 oct. 2007 à 23:09
Il m'a l'air pas trop mal ton script assez complet
Cependant je remarque quelques petits details a ameliorer comme par exemple des regles en double, des regles a peaufiner mais rien de bien mechant. Je fais la un passage rapide, j'essairai de regarder ca plus precisement plus tard.
Pour les zero dans le post initial, il n'y a pas de soucis a se faire c'est tout a fait normal du fait qu'il n'y pas de restriction sur les ips dans ton script.
:)
Cependant je remarque quelques petits details a ameliorer comme par exemple des regles en double, des regles a peaufiner mais rien de bien mechant. Je fais la un passage rapide, j'essairai de regarder ca plus precisement plus tard.
Pour les zero dans le post initial, il n'y a pas de soucis a se faire c'est tout a fait normal du fait qu'il n'y pas de restriction sur les ips dans ton script.
:)
Eley
Messages postés
185
Date d'inscription
mardi 23 octobre 2007
Statut
Membre
Dernière intervention
24 juillet 2010
25 oct. 2007 à 09:05
25 oct. 2007 à 09:05
Merci kisscool j'attend tes conseil avec impatience! n'hesite pas!
kisscool_
Messages postés
48
Date d'inscription
jeudi 21 décembre 2006
Statut
Membre
Dernière intervention
10 octobre 2008
1
25 oct. 2007 à 18:46
25 oct. 2007 à 18:46
Avant d'aller plus loin j'aimerais savoir une chose. D'apres le script que tu as posté, je m'en suis pas rendu compte la premiere fois mais j'ai l'impression que tu as pas mal de services qui tourne sur ton firewall.
Dis nous si je me trompe ou precise nous l'utilisation que tu fait du firewall ( type d'utilisation, services installés , etc ... )
Dis nous si je me trompe ou precise nous l'utilisation que tu fait du firewall ( type d'utilisation, services installés , etc ... )