Forum debian-fr.org

# Toutes les autres connexions sont enregistrées dans syslog
   #$IPTABLES -t filter -A OUTPUT -j LOG
   $IPTABLES -t filter -A INPUT -j LOG --log-level=4

root@lagache:/home/irena# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j LOG
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 58400 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 58410 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 58420 -j ACCEPT
-A INPUT -j LOG

root@lagache:/home/irena# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        icmp --  anywhere             anywhere            LOG level warning
DROP       icmp --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:58400
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:58410
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:58420
LOG        all  --  anywhere             anywhere            LOG level warning

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

May 12 18:47:26 lagache kernel: [   27.002602] e1000e: eth0 NIC Link is Up 100 Mbps Full Duplex, Flow Control: Rx/Tx
May 12 18:47:26 lagache kernel: [   27.002606] e1000e 0000:00:19.0: eth0: 10/100 speed: disabling TSO
May 12 18:47:26 lagache kernel: [   27.004069] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
May 12 18:47:27 lagache kernel: [   27.262042] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210
May 12 18:47:27 lagache kernel: [   27.293154] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=142 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=122
May 12 18:47:27 lagache kernel: [   27.512352] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210
May 12 18:47:27 lagache kernel: [   27.762552] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210
May 12 18:47:27 lagache kernel: [   27.962755] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=212 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=192
May 12 18:47:28 lagache kernel: [   28.446942] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=142 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=122
May 12 18:47:28 lagache kernel: [   28.946909] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:28 lagache kernel: [   29.115485] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=212 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=192
May 12 18:47:29 lagache kernel: [   29.196786] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:29 lagache kernel: [   29.447216] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:29 lagache kernel: [   29.647751] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147
May 12 18:47:29 lagache freshclam[1907]: ClamAV update process started at Sat May 12 18:47:29 2012
May 12 18:47:29 lagache freshclam[1907]: main.cvd is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven)
May 12 18:47:29 lagache freshclam[1907]: daily.cld is up to date (version: 14915, sigs: 170977, f-level: 63, builder: guitar)
May 12 18:47:29 lagache freshclam[1907]: bytecode.cld is up to date (version: 176, sigs: 39, f-level: 63, builder: neo)
May 12 18:47:29 lagache kernel: [   29.789523] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147
May 12 18:47:29 lagache kernel: [   29.992719] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:30 lagache kernel: [   30.243063] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:30 lagache kernel: [   30.493246] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159
May 12 18:47:30 lagache kernel: [   30.597430] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=199 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=179
May 12 18:47:30 lagache freshclam[1907]: --------------------------------------
May 12 18:47:30 lagache kernel: [   30.693749] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147
May 12 18:47:31 lagache kernel: [   31.266480] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=240 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=220
May 12 18:47:31 lagache kernel: [   31.845644] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147
May 12 18:47:33 lagache kernel: [   33.996964] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147
May 12 18:48:23 lagache kernel: [   83.768844] soffice.bin[2441]: segfault at 7fd4f94535b8 ip 00007fd50041161c sp 00007fff57a6e158 error 4 in libvcllx.so[7fd500194

May 12 18:47:28 lagache kernel: [   29.115485] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=212 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=192

 Listed by source hosts:
 Logged 7614 packets on interface wlan0
   From 0.0.0.0 - 4 packets to udp(67)
   From 1.4.234.158 - 1 packet to icmp(3)
   From 1.162.42.56 - 8 packets to udp(49602,57394,61436,65372
...

We have scanned your system for open ports and for ports visible to others on the Internet. As a rule an open port means your computer is vulnerable to attacks by crackers. They gain access to your computer and its files through these open ports.
At Risk!           

Warning!
The test found visible port(s) on your system: 135, 137, 138, 139

TCP_SERVICES="monFtp:211 ssh:223  serveur_web:808  cupsHome:631  jabberPerso:422"

# Services à autoriser en entrée
for PORT in $TCP_SERVICES; do
    iptables -A INPUT -p tcp --dport ${PORT#*:} -j ACCEPT  -m comment --comment ${PORT%:*}
done

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:211 /* monFtp */
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:223 /* ssh */
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:808 /* serveur_web */
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:631 /* cupsHome */
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:422 /* jabberPerso */

iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

# pour toute interface de type broadcast (ethernet, wifi...)
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT

# pour toute interface utilisant l'autoconfiguration sans état (SLAAC)
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT

# si la machine sert de routeur IPv6, pour toute interface sur laquelle elle annonce des préfixes (avec radvd)
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT

#!/bin/sh

### BEGIN INIT INFO
# Provides:           mon_parefeu
# Required-Start:     $local_fs
# Should-Start:
# Required-Stop:      $local_fs
# Should-Stop:
# X-Start-Before:     $network
# X-Stop-After:       $network
# Default-Start:      S
# Default-Stop:       0 6
# Short-description:  Configure le parefeu
# Description:        Met en place les règles iptables.
### END INIT INFO

#------------------------Explications----------------------------------#
#
# Défauts :
# - Cette configuration s'applique à toutes les interfaces réseau.
#   Si vous voulez restreindre cela à une interface donnée,
#   utilisez '-i INTERFACE' dans la variables $IPTABLES.
#
# - Par défaut, le script autorise tout en sortie.
#   Pour changer ce comportement veuillez indiquer les numéros
#   de port en question dans les variables
#            $REMOTE_TCP_SERVICES
#   et/ou    $REMOTE_UDP_SERVICES
#
# - Pour configurer une machine routeur,
#   changez la valeur de la variable
#   ISROUTERNAT à true, ainsi que
#   les interfaces ethx et ethy selon votre configuration
#         ethx correspond à l'interface du LAN
#         ethy correspond à l'interface reliée à la truc-box
#
# description: Active/Désactive le pare-feu au démarrage
#
#----------------------------------------------------------------------#

. /lib/lsb/init-functions

#------------------------VARIABLES-------------------------------------#
# Mettre à 1 si vous utilisez IPV6 :
IPV6=0
# Services que le système offrira au réseau, à séparer avec des espaces
# ftp : 21, ssh : 22, serveur web : 80, cups : 631, jabber : 5222
TCP_SERVICES=""
UDP_SERVICES=""
# Services que le système utilisera du réseau
# (défaut : autorise tout en sortie)
REMOTE_TCP_SERVICES=""
REMOTE_UDP_SERVICES=""

# Pour une machine faisant office de routeur avec NAT,
# changer la valeur de la variable ISROUTERNAT à 1.
ISROUTERNAT=false
# ethx correspond à l'interface du LAN
# ethy correspond à l'interface reliée à la truc-box
ethx="eth1"
ethy="eth0"

# Chemins vers iptables
readonly IPTABLES=/sbin/iptables
readonly IP6TABLES=/sbin/ip6tables
#----------------------------------------------------------------------#

if ! [ -x $IPTABLES ]; then
    exit 0
fi

if [ $IPV6 -eq 1 ]; then
    if ! [ -x $IP6TABLES ]; then
        exit 0
    fi
fi


#----------------------------FONCTIONS---------------------------------#
fw_start () {
 
# Vidage
   fw_clear
   # Parefeu - Suppression des règles
 
# Interdictions
   $IPTABLES -t filter -P INPUT DROP
   $IPTABLES -t filter -P FORWARD DROP
   $IPTABLES -t filter -P OUTPUT DROP
 
   # Parefeu - interdictions générales établies
 
# Loopback
   $IPTABLES -t filter -A INPUT -i lo -j ACCEPT
 
# Trafic d'entrée :
   $IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Refus du ping pour éviter de répondre aux scans des éventuels vilains
   $IPTABLES -t filter -A INPUT -p icmp -j LOG
   $IPTABLES -t filter -A INPUT -p icmp -j DROP
 
# Sortie autorisée, si aucun port autorisé en sortie n'est défini
        if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
            $IPTABLES -t filter -P OUTPUT ACCEPT
        fi
 
# Services à autoriser en entrée
   for PORT in $TCP_SERVICES; do
      $IPTABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
   done
 
   for PORT in $UDP_SERVICES; do
      $IPTABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
   done
 
# Services à autoriser en sortie
 
   for PORT in $REMOTE_TCP_SERVICES; do
      $IPTABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
   done
   for PORT in $REMOTE_UDP_SERVICES; do
      $IPTABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
   done
   # Parefeu - Mise en place des règles
 
   if $ISROUTERNAT ; then
      $IPTABLES -A INPUT -i $ethx -j ACCEPT
      $IPTABLES -A INPUT -p icmp -j ACCEPT
      $IPTABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
      $IPTABLES -A FORWARD -o $ethy -j ACCEPT
      $IPTABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
       # Parefeu - Routeur avec NAT
   fi
 
# Toutes les autres connexions sont enregistrées dans syslog
   $IPTABLES -t filter -A INPUT -j LOG --log-level=4

# Configuration IPV6
    if [ $IPV6 -eq 1 ]; then
    # Interdictions
        $IP6TABLES -t filter -P INPUT DROP
        $IP6TABLES -t filter -P FORWARD DROP
        $IP6TABLES -t filter -P OUTPUT DROP
     
    # Loopback
        $IP6TABLES -t filter -A INPUT -i lo -j ACCEPT
     
    # Trafic d'entrée :
        $IP6TABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     
    # Refus du ping pour éviter de répondre aux scans des éventuels vilains
        $IP6TABLES -t filter -A INPUT -p icmp -j LOG
        $IP6TABLES -t filter -A INPUT -p icmp -j DROP
     
    # Sortie autorisée, si aucun port autorisé en sortie n'est défini
            if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
                $IP6TABLES -t filter -P OUTPUT ACCEPT
            fi
     
    # Services à autoriser en entrée
        for PORT in $TCP_SERVICES; do
            $IP6TABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
        done
     
        for PORT in $UDP_SERVICES; do
            $IP6TABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
        done
     
    # Services à autoriser en sortie
     
        for PORT in $REMOTE_TCP_SERVICES; do
            $IP6TABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
        done
        for PORT in $REMOTE_UDP_SERVICES; do
            $IP6TABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
        done
        # Parefeu - Mise en place des règles
     
        if $ISROUTERNAT ; then
            $IP6TABLES -A INPUT -i $ethx -j ACCEPT
            $IP6TABLES -A INPUT -p icmp -j ACCEPT
            $IP6TABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
            $IP6TABLES -A FORWARD -o $ethy -j ACCEPT
            $IP6TABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
            $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
            $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
        fi
     
        # Pour toute interface de type broadcast
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
        $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
        $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT


    # Toutes les autres connexions sont enregistrées dans syslog
        $IP6TABLES -t filter -A INPUT -j LOG --log-level=4
    fi
}

fw_stop () {
   #$IPTABLES -F
   #$IPTABLES -t nat -F
   #$IPTABLES -t mangle -F
   #$IPTABLES -P INPUT DROP
   #$IPTABLES -P FORWARD DROP
   #$IPTABLES -P OUTPUT ACCEPT
   iptables-save > /etc/firewall
}

fw_clear () {
   $IPTABLES -t filter -F
   $IPTABLES -t nat -F
   $IPTABLES -t mangle -F
   $IPTABLES -t raw -F
   $IPTABLES -t filter -P INPUT ACCEPT
   $IPTABLES -t filter -P OUTPUT ACCEPT
   $IPTABLES -t filter -P FORWARD ACCEPT
   $IPTABLES -t nat -P PREROUTING ACCEPT
   $IPTABLES -t nat -P POSTROUTING ACCEPT
   $IPTABLES -t nat -P OUTPUT ACCEPT
   $IPTABLES -t mangle -P PREROUTING ACCEPT
   $IPTABLES -t mangle -P OUTPUT ACCEPT
   $IPTABLES -t mangle -P POSTROUTING ACCEPT
   $IPTABLES -t mangle -P FORWARD ACCEPT
   $IPTABLES -t mangle -P INPUT ACCEPT
   $IPTABLES -t raw -P OUTPUT ACCEPT
   $IPTABLES -t raw -P PREROUTING ACCEPT
   $IPTABLES -F
   if [ $IPV6 -eq 1 ]; then
        $IP6TABLES -t filter -F
        $IP6TABLES -t nat -F
        $IP6TABLES -t mangle -F
        $IP6TABLES -t raw -F
        $IP6TABLES -t filter -P INPUT ACCEPT
        $IP6TABLES -t filter -P OUTPUT ACCEPT
        $IP6TABLES -t filter -P FORWARD ACCEPT
        $IP6TABLES -t nat -P PREROUTING ACCEPT
        $IP6TABLES -t nat -P POSTROUTING ACCEPT
        $IP6TABLES -t nat -P OUTPUT ACCEPT
        $IP6TABLES -t mangle -P PREROUTING ACCEPT
        $IP6TABLES -t mangle -P OUTPUT ACCEPT
        $IP6TABLES -t mangle -P POSTROUTING ACCEPT
        $IP6TABLES -t mangle -P FORWARD ACCEPT
        $IP6TABLES -t mangle -P INPUT ACCEPT
        $IP6TABLES -t raw -P OUTPUT ACCEPT
        $IP6TABLES -t raw -P PREROUTING ACCEPT
        $IP6TABLES -F
    fi
}

fw_status () {
   $IPTABLES -L --line-numbers
   if [ $IPV6 -eq 1 ]; then
       $IP6TABLES -L --line-numbers
   fi
}

#----------------------------------------------------------------------#

case "$1" in
   start|restart)
      log_daemon_msg "Starting firewall.."
       fw_start
      log_end_msg $?
    ;;
   stop)
      log_daemon_msg "Stopping firewall.."
       fw_stop
      log_end_msg $?
    ;;
   clean)
       log_daemon_msg "Clearing firewall rules.."
       fw_clear
      log_end_msg $?
    ;;
   status)
      log_daemon_msg "Firewall status"
      fw_status
   ;;
   *)
       log_action_msg "Usage $0 {start|stop|restart|clean|status}"
       exit 1
    ;;
esac
exit 0