IptablesRésolu/Fermé

Question

Bonjour,J'ai configurer iptables j'ai fait au mieux il me semble que tt parait normal maisj'ai un doute quant à ce qu'il me retourne lorsque je lance cette commande iptables -L -n -v voila le resultat,est ce que tout est normal???


hain INPUT (policy DROP 3 packets, 108 bytes)
pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

8 880 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0
udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp spt:1863
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp spt:1863
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp dpt:1863
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp spt:6891
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp spt:6891
604 29508 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:7564
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp spt:6667
90 92278 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:443 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:110 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:143 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:993 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp spt:25 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination


Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0

8 490 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0
udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:1863
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:6891
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp dpt:6891
604 24160 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp spt:7564
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp spt:7574
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
udp dpt:7574
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:6667
90 11380 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:110 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:143 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0
tcp dpt:993 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:22
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:80

kisscool_ · Answer

Bonjour,

Peux tu nous mettre ton script complet, cela sera plus parlant je pense ?

Personnellement j'ai du mal avec ce que tu nous montre. 

Merci :)

Eley · Answer

Voilà Kisskool


#!/bin/sh



#activation du forward
echo 1 > /proc/sys/net/ipv4/ip_forward

#Anti Spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
      echo 1 > $filtre
  done
fi

# pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

# Nous vidons toutes les chaines
iptables -F

# Nous supprimons les chaines non standards
iptables -X

# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Accept CHAINE
iptables -t nat -F
iptables -t nat -X

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# La machine locale est sure
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Resolution DNS pour le firewall
iptables -A INPUT  -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT  -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT 

# Messenger
iptables -A INPUT  -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT  -p udp --sport 1863 -j ACCEPT
iptables -A INPUT  -p udp --dport 1863 -j ACCEPT

iptables -A INPUT  -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT  -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT

# P2P
iptables -A OUTPUT -p tcp --sport 7564 -j ACCEPT
iptables -A INPUT  -p tcp --dport 7564 -j ACCEPT
iptables -A OUTPUT -p udp --sport 7574 -j ACCEPT
iptables -A OUTPUT -p udp --dport 7574 -j ACCEPT

# IRC
iptables -A INPUT   -p tcp --sport 6667  -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 6667  -j ACCEPT


# connexions Firewall-Internet (www)
iptables -A OUTPUT -p tcp --dport 80  -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 80  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 443 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# connexions firewall -Internet (pop)
iptables -A OUTPUT -p tcp --dport 110 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# connexions firewall-Internet (imap)
iptables -A OUTPUT -p tcp --dport 143 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 143 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# connexions firewall-Internet (imaps)
iptables -A OUTPUT -p tcp --dport 993 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 993 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# connexions firewall-Internet (smtp)
iptables -A OUTPUT -p tcp --dport 25 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Ouverture pour le serveur ssh
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 22  -j ACCEPT

# Ouverture pour le serveur web
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 80 -j ACCEPT

#autoriser ftp
iptables -A INPUT  -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# Fin du fichier

Eley · Answer

en faites dans le poste d'avant c'est ça qui me chagrine :  0.0.0.0/0 0.0.0.0/0  ne devrait il pas y avoir d'ip ?

bob031 · Answer

Bonjour,

ne devrait il pas y avoir d'ip ?

n'est-ce pas parce que, justement, aucune IP n'est spécifiée dans le script ?

 :-))

Eley · Answer

Alors Oui c'est fort Possible! seulement je ne sais pas ou mettre cette ip tu me file un petit coup de main?

Eley · Answer

mais alors comment se fait il que mon firewall fonctionne il bloque bien l'acces à certain service notament msn si j'ouvre pas le port dans iptables la conexion est impossible dc c'est qu'il fonctionne ? alors que je n'ai specifier d'ip nullepart

bob031 · Answer

ben je suppose qu'il suffit de remplacer "eth0" par l'IP de la machine ! 
maintenant est-ce que ça change grand chose ? J'en sais fichtrement rien pour être franc !

 :-))

Eley · Answer

Oui,non merci j'en doute fort puisque c'est pour indiquer sur quelle interface faire agire les regles

kisscool_ · Answer

Il m'a l'air pas trop mal ton script assez complet

Cependant je remarque quelques petits details a ameliorer comme par exemple des regles en double, des regles a peaufiner mais rien de bien mechant. Je fais la un passage rapide, j'essairai de regarder ca plus precisement plus tard.

Pour les zero dans le post initial, il n'y a pas de soucis a se faire c'est tout a fait normal du fait qu'il n'y pas de restriction sur les ips dans ton script.

:)

Eley · Answer

Merci kisscool j'attend tes conseil avec impatience! n'hesite pas!

kisscool_ · Answer

Avant d'aller plus loin j'aimerais savoir une chose. D'apres le script que tu as posté, je m'en suis pas rendu compte la premiere fois mais j'ai l'impression que tu as pas mal de services qui tourne sur ton firewall.

Dis nous si je me trompe ou precise nous l'utilisation que tu fait du firewall ( type d'utilisation, services installés , etc ... )

Iptables

11 réponses

Discussions similaires

Newsletters