iptable au démarrage : Support Debian

Voir les messages sans réponses | Voir les sujets actifs

iptable au démarrage

Page 1 sur 1

[ 22 messages ]

Sujet précédent | Voir le premier message non lu | Sujet suivant

Auteur

Message

westernz

Sujet du message: iptable au démarrage

Posté: 07 Avr 2012 16:37

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

Bonjour,

J'ai suivi ce tuto :
http://sorrodje.alter-it.org/index.php?article14/preparation-d-un-vks-ovh-avec-debian-6-0

Pour le moment tout mes ports sont ouvert.
Je suis en train de chercher pourquoi.

Bonne journée

Dernière édition par westernz le 07 Avr 2012 16:49, édité 2 fois.

Haut

lol

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 16:44

Dieu du clavier.

Inscription: 13 Mar 2009 08:30
Messages: 12005
Localisation: Madagascar - Isalo

Salut,
Je ne vais pas me taper deux pages de tutos...
Donne le script, la méthode pour le lancer au démarrage, et la sortie de iptables -S

_________________
GO Compréhensif...
SID 3.8-etc...-aptosid-amd64 && Xfce 4.10
"Pastbin" / "service d'hébergement d'images" Visitez et Participez au wiki du forum!

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 16:50

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

C'est juste, excuse cette maladresse.
nb : je comprend rien mais je persévère.

Je ne sais pas comprend pas tout donc je te donne mon fichier complet. Cela évitera que tu me dis qu'il manque une information.

La commande iptables -S

Code:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN

Et ce n'est pas normal car j'ai changé le port ssh 22 en 3546.

Mon fichier firewall actuel :

Code:

#!/bin/sh            
            
### BEGIN INIT INFO            
# Provides:      iptables            
# Required-Start:            
# Should-Start:            
# Required-Stop:            
# Should-Stop:            
# Default-Start:   2 3 4 5            
# Default-Stop:       0 1 6            
# Short-description:   iptables            
# Description:       Firewall            
### END INIT INFO            
            
            
### RAZ             
iptables -t filter -F             
iptables -t filter -X            
            
### FERMETURE TOTALE PAR DEFAUT            
iptables -t filter -P INPUT DROP             
iptables -t filter -P FORWARD DROP             
iptables -t filter -P OUTPUT DROP            
            
### MAINTIEN DES CONNEXIONS EXISTANTES            
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT             
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT            
            
### AUTORISATION DU LOOPBACK            
iptables -t filter -A INPUT -i lo -j ACCEPT             
iptables -t filter -A OUTPUT -o lo -j ACCEPT            
            
### AUTORISATION DU PING            
iptables -t filter -A INPUT -p icmp -j ACCEPT             
iptables -t filter -A OUTPUT -p icmp -j ACCEPT            
            
### AUTORISATIONS LIEES AUX SERVICES            
            
# SSH port 22            
#iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT             
#iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT            
            
# SSH port 3546            
iptables -t filter -A OUTPUT -p tcp --dport 3546 -j ACCEPT             
iptables -t filter -A INPUT -p tcp --dport 3546 -j ACCEPT            
            
# DNS            
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT             
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT            
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT             
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT            
            
# HTTP            
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT             
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT            
            
# HTTPS            
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT             
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT            
            
# FTP            
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT             
iptables -t filter -A INPUT -p tcp --dport 21-j ACCEPT            

Toutefois j'ai un autre tuto qui me dit de faire ceci :
(dois-je procéder ainsi ? Pour éviter d confronter 2 tuto et de tomber sur une incompatibilité je préfère demander)

Citation:

Déplacez le script iptables dans /etc/init.d

sudo mv /emplacement/du/script/iptables /etc/init.d

Rendez ce script exécutable :

sudo chmod +x /etc/init.d/monIptables

Pour indiquer à votre ordinateur de l'utiliser au démarrage:

sudo update-rc.d monIptables defaults

Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :

sudo iptables -L

Second probleme. Si je tape :

Code:

/etc/init.d/firewall restart

ca me dit :

Code:

bash: /etc/init.d/firewall: Permission denied

Désolé d'être aussi noob. Mais c'est bien les noobs qui ont le plus besoin d'aide

MErci, et passe une agréable journée

Haut

lol

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 16:59

Dieu du clavier.

Inscription: 13 Mar 2009 08:30
Messages: 12005
Localisation: Madagascar - Isalo

Re,
Pas de problèmes, nous avons tous commencé au même niveau...

Il faut effectivement que ton script se lance au démarrage, donc il faut le copier dans /etc/init.d le rendre exécutable, et procéder à l'automatisation avec update-rc.d.

Pour lancer le script, il faut être "root".
Soit:

Code:

# /etc/init.d/firewall start

Soit:

Code:

$ sudo /etc/init.d/firewall start

Le dièse (#) signifie que tu es SU (super utilisateur).

_________________
GO Compréhensif...
SID 3.8-etc...-aptosid-amd64 && Xfce 4.10
"Pastbin" / "service d'hébergement d'images" Visitez et Participez au wiki du forum!

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 17:11

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

EDIT j'ai peu etre un truc qui ne va pas

Mon tuto m'a indiqué de toucher directement au fichier de destination:

Code:

# nano /etc/init.d/firewall

Donc ce serait idiot de le copier à la place de lui même.
Toutefois. L'emplacement source n'existe donc pas. C'est grave ?
Devrais aussi avoir mon fichier firewall autre part ?

Toutefois ceci n'empèche pas de devoir faire cela :
Si je ne me trompe pas dans le nom de table.
Rendre le script exécutable :

Code:

# chmod +x /etc/init.d/firewall

Indiquer à votre ordinateur de l'utiliser au démarrage:

Code:

# update-rc.d firewall defaults

Je redémarrage avec service ssh restart ?

Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
# iptables -L

Dernière édition par westernz le 07 Avr 2012 19:48, édité 4 fois.

Haut

ggoodluck47

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 18:32

Contributeur

Inscription: 28 Aoû 2003 14:01
Messages: 13045
Localisation: Le domaine de Henri IV

Salut,

Citation:

Si je comprend bien donc.
$ sudo = #
tout depend mon logiciel,
sous putty j'ai #
sous un soft d'expert j'ai certainement juste $

Ceci ressemble à du SMS, si tu pouvais essayer de faire des phrases

_________________
Debian 3.9-3.slh.1-aptosid (3.9.13) GT520 > nvidia 319.17 ==> Intel (I5) ~3GHz
http://aptosid-fr.org/

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 18:40

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

Désolé, Je reprendre de manière plus construite.

Si je comprend bien donc.
$ sudo est en fait la traduction de #
tout depend mon logiciel utilisé je suppose
sous putty, putty me met un # automatiquement.
sous un soft, certainement plus expert je suppose que je peut avoir juste $ à la suite de quoi je dois écrire sudo pour débuter ma ligne.

Cette partie est juste pour comprendre. Et pou éviter de faire de mauvais amalgame ou erreur diverses quand on me dira de faire ci ou ça.

Bonne journée

Haut

secuip

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 18:42

Grand posteur

Inscription: 01 Avr 2012 21:34
Messages: 153
Localisation: FR

westernz a écrit:

Pour bien comprendre, il faut bien chercher. Tu ne trouvera pas meilleure explication que grâce à Google (retient cette technique).

http://fr.wikipedia.org/wiki/Sudo est la première réponse fournit par Google....

_________________
L'informatique, c'est pas automatique !

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 19:11

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

Donc si je suis log en tant qu'admin, c'est a dire que je me suis log comme user puis j'ai ouvert une session via su root. Je n'ai pas besoin d'utiliser sudo à chaque fois. Car je serai admin natif non ?

Haut

Clochette

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 19:20

Contributeur

Inscription: 09 Jan 2009 12:55
Messages: 4449
Localisation: assis sur un caisson de basse à clavioter

westernz a écrit:

Attention "sudo" est une utilisation particulière, elle octroi à quelqu'un le droit de se comporter presque comme le super utilisateur ( en fonction des droits que l'on a octroyé à l'utilisateur dans le fichier sudoers ) le temps d'une commande.

Il y a aussi le "su -C" qui permet lui de se substituer au super utilisateur le temps d'une commande.

Maintenant l'utilisation de "su" permet de se loguer en super utilisateur tout court.

Maintenant je vais pas relancer le débats mais je trouve préférable l'utilisation de "su" avec parcimonie et de préparer un alias de "su -c" lorsqu'il le faut et sinon de se contenter d'un "sudo" pour filer des droits à des personnes extérieur ( avis perso inside me ).

_________________
Can you pass the ACID test ?
--------------------------------------------------
Mieux vaut le vin d'ici que l'eau de là.

Dernière édition par Clochette le 07 Avr 2012 21:03, édité 1 fois.

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 19:45

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

Ok j'ai compris le sens des utilisation.
Pour soit (admin) de manière général, pour une autre personne sur une seule commande rapide, ou pour une autre personne (genre aide à distance).

Merci de m'avoir éclairci cela, je reste sur su tout simplement pour ne pas me compliqué les chose. Je retient juste que sudo c'est su si on est déjà loggé en tant qu'admin.

Quand au reste ?
https://www.debian-fr.org/iptable-au-demarrage-t38248.html#p385512

Haut

secuip

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 22:29

Grand posteur

Inscription: 01 Avr 2012 21:34
Messages: 153
Localisation: FR

westernz a écrit:

Ok j'ai compris le sens des utilisation.

Parfait à l'avenir pense à Google en premier, c'est d'ailleurs valable pour chacun des tests que l'on te proposera de faire.
:041

westernz a écrit:

Quand au reste ?

Difficile de comprendre où tu en es.

Pour reprendre du début : Tu souhaite mettre en place des règles de pare-feu sur ton serveur Debian afin de n'autoriser que des flux réseaux maitrisés. Parfait !

Code:

iptables -L

te retourne quoi ?

Code:

/etc/init.d/iptables status

te retourne quoi ?

Quel est le nom et le chemin de ton fichier de configuration ?

Si c'est du style "/etc/init.d/iptables_conf" :

Code:

ls -al /etc/init.d/iptables_conf

te retourne quoi ?

Code:

more /etc/init.d/iptables_conf

te retourne quoi ?

Bien évidemment toutes ces commandes nécessites les droits SuperUtilisateur, tu choisira donc de te connecter en root (# apparait dans le prompt) ou tu utilisera la commande "sudo".

_________________
L'informatique, c'est pas automatique !

Haut

silver.sax

Sujet du message: Re: iptable au démarrage

Posté: 07 Avr 2012 23:13

Très bavard(e)!

Inscription: 09 Mai 2008 21:39
Messages: 735

Juste pour dire un truc ch***t: j'ai tendance à penser "substitute user" pour su. Utilisé sans argument, il donne accés au compte root/admin (je n'aime pas le terme super utilisateur) mais il permet surtout de se connecter sous n'importe quel compte à partir d'une session déjà ouverte (pratique à la fac). Il permet de se substituer à 'utilsateur courant en qq sorte.
Ceci dit, google et le man parle de su=super-user aussi... chacun sa sauce.

Haut

Clochette

Sujet du message: Re: iptable au démarrage

Posté: 08 Avr 2012 00:06

Contributeur

Inscription: 09 Jan 2009 12:55
Messages: 4449
Localisation: assis sur un caisson de basse à clavioter

silver.sax a écrit:

Il est vrai, j'avoue avoir pris un raccourci sur le coup

car c'est évidement ce qu'il rechercher.

Sinon pour un Iptable pourquoi ne pas utiliser l'un des deux tutoriels de ce forum présent dans la rubriques trucs et astuces ou dans le wiki il me semble.
Ils ont été mentionnées "pour les nuls" sans mauvaise connotation et sont bien documenter pour que tu puisse comprendre un minimum.

_________________
Can you pass the ACID test ?
--------------------------------------------------
Mieux vaut le vin d'ici que l'eau de là.

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 08 Avr 2012 03:24

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

J'ai due réinstallé le serveur.
Je ferais tout à zéro c'est pas un mal.
Je noterai mes résultats pour vous les montrer un peu plus tard.

En attendant...

Je n'ai pas trouvé le tuto indiqué.
Celui-ci vous parait convenable ?

Vu mon état, je le lirai demain pour vérifier et affiner ce que j'ai mis de coté.
En espérant le comprendre jusqu'au bout.

nb : Ca n'a rien à voir mais taper au clavier (ce message) en écoutant un classique au piano ça fait bizarre.

Bonne nuit

Haut

lol

Sujet du message: Re: iptable au démarrage

Posté: 08 Avr 2012 05:46

Dieu du clavier.

Inscription: 13 Mar 2009 08:30
Messages: 12005
Localisation: Madagascar - Isalo

Salut,

westernz a écrit:

J'ai due réinstallé le serveur.

Dommage...

Pour ce qui est de root, su, et sudo, un petit tuto: http://www.isalo.org/wiki.debian-fr/ind ... ot-su-sudo
Pour ce qui est du script avec iptables: http://www.isalo.org/wiki.debian-fr/ind ... troduction

Pense au Wiki, il est plein de tutos qui sont généralement simples.

Je relève ceci:

westernz a écrit:

La commande iptables -S

Code:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN

Et ce n'est pas normal car j'ai changé le port ssh 22 en 3546.

Si c'est normal, il s'agit de fail2ban, rien a voir avec iptables.
Pour changer le port de ssh, il faut modifier le fichier /etc/ssh/sshd_config
Il faudra ensuite modifier fail2ban pour qu'il surveille le port 3546

J'ai moi aussi utilisé un raccourci, su signifie bien substitute user.

Prend l'habitude de lire les manuels (tape man su en console). Il existent en français:

Code:

aptitude install manpages-fr

Bonne route! :006

_________________
GO Compréhensif...
SID 3.8-etc...-aptosid-amd64 && Xfce 4.10
"Pastbin" / "service d'hébergement d'images" Visitez et Participez au wiki du forum!

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 08 Avr 2012 16:15

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

message effacé

Dernière édition par westernz le 14 Avr 2012 21:50, édité 1 fois.

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 14 Avr 2012 20:57

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

Au sujet du chmod.
Et du firewall.

Dans etc/init.d/ tout mes fichier déjà présent sont en 755 (rwxr-xr-x)
Sauf si j'ajoute un fichier, comme le fichier firewall qui est 644 quand je viens de le créer.

Si je note +x comme dans le tuto il passe en 755.
Je suppose que tous mes fichiers de ce dossier doivent être en 755.
Y compris de futurs fichiers

A moins que ?...
Dois-je passer le firewall en 755 ?
Dois changer en autre chose ?
Changer d'autres fichier ?

Bonne journée

Haut

lol

Sujet du message: Re: iptable au démarrage

Posté: 15 Avr 2012 10:22

Dieu du clavier.

Inscription: 13 Mar 2009 08:30
Messages: 12005
Localisation: Madagascar - Isalo

Salut,
Effectivement, quand tu crée un fichier, par défaut il est en 644.
Avec un chmod +x tu le passes en 755, il devient exécutable, c'est ce qu'il faut pour un script (enfin au minimum il doit être en 500)

Ici encore, je te propose de la lecture: http://en.wikipedia.org/wiki/Chmod

Pour le reste de tes questions, je ne comprend pas.

_________________
GO Compréhensif...
SID 3.8-etc...-aptosid-amd64 && Xfce 4.10
"Pastbin" / "service d'hébergement d'images" Visitez et Participez au wiki du forum!

Haut

westernz

Sujet du message: Re: iptable au démarrage

Posté: 15 Avr 2012 15:59

Nouvel utilisateur

Inscription: 29 Mar 2012 16:42
Messages: 95

EDIT :

nb : toujours pour une installation de base chez ovh. (faire simple quitte a avoir des services ouverts mais inutilisés.

Tuto suivi :
http://guide.ovh.com/fireWall
Je vais comparer avec le forum wiki debian pour voir si j'y comprend enfin quelque chose.

nb : merci d'excuser la fatigue.

CHMOD du firewall
Etant donné que je suis seul à travaillé sur le serveur et que je vais certainement encore faire des ajustement. Le chmod 700 serait il le plus recommandé ? Puis en 500 dès que ma config est terminée.

Scanner les ports
Comment fait on un scan de port, j'ai pas trouvé la ligne de commande. Je vais fouiller encore ce soir.

Ping
Est-ce utile de refuser les requêtes de ping ? Cela de va t il pas gêner les robots de référencement ou autre service utiles ? (autre que ceux de ovh)

Si j'ai bien compris je ne m'occupe du paragraphe "Serveur RPS " que si je bloque les ping.

TCP / UDP
A Partir de quel moment je dois mettre une exception sur la voix udp d'un port ?
Comment savoir si je dois mettre INPUT FORWARD ou OUTPUT ?

Outils inconnus
Je site les infos que je ne comprend pas. Et donc je ne sais pas si je dois les prendre en compte.

Citation:

Si vous avez une configuration en Cluster, il faut également autoriser le port 79 pour que OCO puisse communiquer avec le répartiteur de charge.

Drop
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

Pourquoi -P ?
Dans le tuto ovh j'ai -A
Et aucune info sur le pourquoi.

Bonne journée

Haut

lol

Sujet du message: Re: iptable au démarrage

Posté: 16 Avr 2012 05:34

Dieu du clavier.

Inscription: 13 Mar 2009 08:30
Messages: 12005
Localisation: Madagascar - Isalo

Salut,

westernz a écrit:

Pourquoi -P ?
Dans le tuto ovh j'ai -A
Et aucune info sur le pourquoi.

Man iptables:

Citation:

-A, --append chain rule-specification
Append one or more rules to the end of the selected chain. When the source and/or destination names resolve to more than one address, a rule will be added for each possible address combination.

-P, --policy chain target
Set the policy for the chain to the given target. See the section TARGETS for the legal targets. Only built-in (non-user-defined) chains can have policies, and neither built-in nor user-defined chains can be policy targets.

SI ce n'est pas clair, Internet regorge de tutos, Wikis, et autres sources qui expliquent très bien iptables.
Il faut prendre la peine de chercher.

C'est une mauvaise idée de poser une question pour chaque option d'un programme que tu ne comprends pas...

_________________
GO Compréhensif...
SID 3.8-etc...-aptosid-amd64 && Xfce 4.10
"Pastbin" / "service d'hébergement d'images" Visitez et Participez au wiki du forum!

Haut

PascalHambourg

Sujet du message: Re: iptable au démarrage

Posté: 16 Avr 2012 09:40

Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4826

westernz a écrit:

Est-ce utile de refuser les requêtes de ping ?

Non.

westernz a écrit:

Cela de va t il pas gêner les robots de référencement ou autre service utiles ?

Non.

westernz a écrit:

Comment savoir si je dois mettre INPUT FORWARD ou OUTPUT ?

En comprenant comment fonctionne iptables et comment il interagit avec les paquets lors de leur cheminement dans la pile TCP/IP.
Je suggère la lecture de http://www.inetdoc.net/guides/iptables-tutorial/, pas tout mais au moins les chapitres "Rappels TCP/IP", "Introduction au filtrage IP", "Traversée des tables et des chaînes", "La machine d'état", "Création d'une règle".

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.

Haut

Page 1 sur 1

[ 22 messages ]

Index du forum » Forums d'aide » Support Debian

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Flux RSS

Liste des flux
Powered by phpBB® Forum Software © phpBB Group
Traduction par: phpBB-fr.com
SEO
[ Time : 0.298s | 14 Queries | GZIP : Off ]

Forum debian-fr.org

iptable au démarrage

Qui est en ligne