Probleme Iptables
unconnu75
Messages postés
100
Statut
Membre
-
spacm Messages postés 143 Statut Membre -
spacm Messages postés 143 Statut Membre -
Bonjour,
Je souhaiterai mettre en route le firewall sur un serveur linux distant.
Objectif: Fermer tous les ports quelqu'ils soient sauf 4: 22, 80, 443, 1194
J'ai fais ceci mais cela plante le serveur (plus acces en SSH):
### ACTIVER LE FILTRAGE ###
echo 1 > /proc/sys/net/ipv4/ip_forward
### RAZ ###
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées soient bloquées par défaut
iptables -P FORWARD DROP
#Je veux que les connexions sortantes soient bloquées par défaut
iptables -P OUTPUT DROP
### RULES ##
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1194 -j ACCEPT
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
Dois-je mettre DROP sur INPUT, FORWARD, OUTPUT?
Merci
Je souhaiterai mettre en route le firewall sur un serveur linux distant.
Objectif: Fermer tous les ports quelqu'ils soient sauf 4: 22, 80, 443, 1194
J'ai fais ceci mais cela plante le serveur (plus acces en SSH):
### ACTIVER LE FILTRAGE ###
echo 1 > /proc/sys/net/ipv4/ip_forward
### RAZ ###
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées soient bloquées par défaut
iptables -P FORWARD DROP
#Je veux que les connexions sortantes soient bloquées par défaut
iptables -P OUTPUT DROP
### RULES ##
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1194 -j ACCEPT
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
Dois-je mettre DROP sur INPUT, FORWARD, OUTPUT?
Merci
A voir également:
- Iptables commande introuvable
- Invite de commande - Guide
- Commande terminal mac - Guide
- Commande dism - Guide
- Commande scannow - Guide
- Diskpart commande - Guide
1 réponse
Je ne vois rien de choquant dans ton script
Peut être faut il une ligne de ce style pour permettre la réponse de sshd?
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
bien que cette ligne de ton script soit probablement censée suffire
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ou regarde si ip_conntrack est bien actif; mais je te dis ça à défaut de vraies idées en fait, une sorte d'expression de solidarité :}
Peut être faut il une ligne de ce style pour permettre la réponse de sshd?
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
bien que cette ligne de ton script soit probablement censée suffire
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ou regarde si ip_conntrack est bien actif; mais je te dis ça à défaut de vraies idées en fait, une sorte d'expression de solidarité :}
