[quote=“MisterFreez”][quote=“M3t4linux”]Je compte bien installer ce script iptable mais j’ai un pc-serveur et un pc pour la bureautique

Est il possible de mettre mon serveur en “mode” pare feu pour les deux PC??

Pour l’instant, j’ouvre les ports via mon routeur et j’ai atteind la limite des 10 ports “ouvrables” via le routeur[/quote]
En principe oui. Tu crée deux vlan (si ton routeur le supporte). Un qui dans le quel il y a ta machine et le modem ppp et un second qui contiens tes machines (le serveur compris) mais pas de connexion direct en ppp. Toutes les connexion doivent passer par ce serveur qui sert de routeur pour aller sur internet.

IPv6 c’est pratique pour ne pas avoir à faire de NAT, dans ces cas là.[/quote]

Je vais déjà consulter les possibilités du routeur; a priori il a deux modes : passerelle ou routeur

Bonjour,

Avant de faire une grosse betise je viens vers vous.
J’ai modifié le port SSH sur ma debian squeeze. Quelle ligne dois-je modifier dans le script pour ne pas me faire bloquer ?

# ftp : 21, ssh : 2233, serveur web : 80, cups : 631, jabber : 5222

???

Sachant que cette ligne est commentée me parait bizarre…
Merci d’aider un newnbie

A+

Salut,
C’est la suite de la ligne qui est intéressante:
Le Dièse (#] signifie que la ligne est commentée, juste là à titre d’information. Seule les lignes dé-commentées sont prises en compte

[code]# Services que le système offrira au réseau, à séparer avec des espaces

ftp : 21, ssh : 22, serveur web : 80, cups : 631, jabber : 5222

TCP_SERVICES="“
UDP_SERVICES=”"[/code]

Il faut compléter les deux dernières lignes avec tes ports.
Par exemple:

# ftp : 21, ssh : 22, serveur web : 80, cups : 631, jabber : 5222 TCP_SERVICES="21 22 80 631 5222"

Si ton ssh est sur le port 666, ce sera:

Lol a déja bien répondu, il faut préciser sur cette ligne quels ports sont à ouvrir :

La ligne précédente est là à titre d’exemple, pour rappeler les ports courants…

Merci pour vos réponses…

Donc

TCP_SERVICES="21 XXXX 80 631 5222" UDP_SERVICES="21 666 80 631 5222"

ou seulement

Je demande des précisions car la dernière fois que j’ai mis le fichier au démarrage j’ai perdu tout contrôle sur mon serveur
Voudrait pas tout planter encore

Salut,
TCP ou UDP, ça dépend des services…

SSH écoute en TCP, Bind en TCP et UDP…

[quote]root@serveur:~# netstat -laputen|grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 866164 27352/sshd
tcp6 0 0 :::22 :::* LISTEN 0 866166 27352/sshd
root@serveur:~# netstat -laputen|grep named
tcp 0 0 xxx.xxx.xxx.xx:53 0.0.0.0:* LISTEN 103 5558 1362/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 103 5556 1362/named
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 103 5636 1362/named
tcp6 0 0 :::53 :::* LISTEN 103 5552 1362/named
tcp6 0 0 ::1:953 :::* LISTEN 103 5637 1362/named
udp 0 0 xxx.xxx.xxx.xx:53 0.0.0.0:* 103 5557 1362/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 103 5555 1362/named
udp6 0 0 :::53 :::* 103 5551 1362/named[/quote]

Merci pour ces précisions, je vais potasser tout ça…

J’ai remarqué que sous testing, le démarrage était beaucoup plus propre : des ok apparaissent en vert lorsqu’un service est lancé avec succès.
C’est à implémenter au script, ou bien est-ce fait tout seul par sysvinit ?
edit : Trouvé, c’est des fonctions lsb toute prêtes. Quelqu’un veut bien vérifer mes modifs sur le wiki?

[quote]./parefeu start
[ ok ] Starting firewall…:.[/quote]

J’avais remarqué ça aussi depuis quelque temps sur ma Sid.
Le démarrage est plus “coloré”

[quote=“lol”][quote]./parefeu start
[ ok ] Starting firewall…:.[/quote]

J’avais remarqué ça aussi depuis quelque temps sur ma Sid.
Le démarrage est plus “coloré” [/quote]

Cette idée nous vient sans doute de Knoppix qui l’applique depuis toujours Et je ne parle que des enfants de Debian

Ça pouvait aussi se trouver sur ubuntu et sur red hat/fedora (du coup sur mandriva voir sur mandrake). Bref sur le coup Debian est bonne dernière

Oui et c’est déjà présent depuis longtemps sous OpenSUSE également

Re,

J’ai bien dit que je ne parlais des enfants de Debian, non
Ubuntu, c’est quoi ça ?

Oui finalement, je trouve ça plutôt joli

[quote=“ggoodluck47”]Re,

J’ai bien dit que je ne parlais des enfants de Debian, non [/quote]
Red Hat et Debian n’ont pas de lien de parenté.

ce ne serait pas plutot originaire de Red hat ça ?

Je sais pas slackware aussi le fait (et c’est elle la plus vielle), mais je ne sais pas depuis quand.

Bonsoir,

Adopté, c’est simplement ce que je cherchais…

Pour ma compréhension,j’ai visité syslog pour comprendre l’enregistrement fait avec ceci :

# Toutes les autres connexions sont enregistrées dans syslog #$IPTABLES -t filter -A OUTPUT -j LOG $IPTABLES -t filter -A INPUT -j LOG --log-level=4

Mais a vrai dire je sais pas quoi chercher … quelle type de ligne et comment les traduires …

Mon iptables (58420=SSH) :

root@lagache:/home/irena# iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j LOG -A INPUT -p icmp -j DROP -A INPUT -p tcp -m tcp --dport 58400 -j ACCEPT -A INPUT -p tcp -m tcp --dport 58410 -j ACCEPT -A INPUT -p tcp -m tcp --dport 58420 -j ACCEPT -A INPUT -j LOG

[code]root@lagache:/home/irena# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
LOG icmp – anywhere anywhere LOG level warning
DROP icmp – anywhere anywhere
ACCEPT tcp – anywhere anywhere tcp dpt:58400
ACCEPT tcp – anywhere anywhere tcp dpt:58410
ACCEPT tcp – anywhere anywhere tcp dpt:58420
LOG all – anywhere anywhere LOG level warning

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/code]

Et enfin au redémarrage de mon pc, les dernières lignes se syslog :

May 12 18:47:26 lagache kernel: [ 27.002602] e1000e: eth0 NIC Link is Up 100 Mbps Full Duplex, Flow Control: Rx/Tx May 12 18:47:26 lagache kernel: [ 27.002606] e1000e 0000:00:19.0: eth0: 10/100 speed: disabling TSO May 12 18:47:26 lagache kernel: [ 27.004069] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready May 12 18:47:27 lagache kernel: [ 27.262042] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210 May 12 18:47:27 lagache kernel: [ 27.293154] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=142 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=122 May 12 18:47:27 lagache kernel: [ 27.512352] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210 May 12 18:47:27 lagache kernel: [ 27.762552] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=230 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=210 May 12 18:47:27 lagache kernel: [ 27.962755] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=212 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=192 May 12 18:47:28 lagache kernel: [ 28.446942] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=142 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=122 May 12 18:47:28 lagache kernel: [ 28.946909] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:28 lagache kernel: [ 29.115485] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=212 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=192 May 12 18:47:29 lagache kernel: [ 29.196786] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:29 lagache kernel: [ 29.447216] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:29 lagache kernel: [ 29.647751] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147 May 12 18:47:29 lagache freshclam[1907]: ClamAV update process started at Sat May 12 18:47:29 2012 May 12 18:47:29 lagache freshclam[1907]: main.cvd is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven) May 12 18:47:29 lagache freshclam[1907]: daily.cld is up to date (version: 14915, sigs: 170977, f-level: 63, builder: guitar) May 12 18:47:29 lagache freshclam[1907]: bytecode.cld is up to date (version: 176, sigs: 39, f-level: 63, builder: neo) May 12 18:47:29 lagache kernel: [ 29.789523] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147 May 12 18:47:29 lagache kernel: [ 29.992719] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:30 lagache kernel: [ 30.243063] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:30 lagache kernel: [ 30.493246] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=179 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=159 May 12 18:47:30 lagache kernel: [ 30.597430] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=199 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=179 May 12 18:47:30 lagache freshclam[1907]: -------------------------------------- May 12 18:47:30 lagache kernel: [ 30.693749] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147 May 12 18:47:31 lagache kernel: [ 31.266480] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=240 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=220 May 12 18:47:31 lagache kernel: [ 31.845644] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147 May 12 18:47:33 lagache kernel: [ 33.996964] IN=eth0 OUT= MAC= SRC=192.168.1.10 DST=224.0.0.251 LEN=167 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=147 May 12 18:48:23 lagache kernel: [ 83.768844] soffice.bin[2441]: segfault at 7fd4f94535b8 ip 00007fd50041161c sp 00007fff57a6e158 error 4 in libvcllx.so[7fd500194

Dans les logs que tu as posté, tu as par exemple :

Cela te donne des informations sur un paquet, entrant par eth0, allant vers DST=224.0.0.251, de protocole UDP…

Par simplicité, j’utilise le paquet logwatch qui fait le tri comme un grand dans tout ça, et me sort un :

Listed by source hosts: Logged 7614 packets on interface wlan0 From 0.0.0.0 - 4 packets to udp(67) From 1.4.234.158 - 1 packet to icmp(3) From 1.162.42.56 - 8 packets to udp(49602,57394,61436,65372 ...

[quote=“thuban”]Dans les logs que tu as posté, tu as par exemple :

Cela te donne des informations sur un paquet, entrant par eth0, allant vers DST=224.0.0.251, de protocole UDP…

Par simplicité, j’utilise le paquet logwatch qui fait le tri comme un grand dans tout ça, et me sort un :

Listed by source hosts: Logged 7614 packets on interface wlan0 From 0.0.0.0 - 4 packets to udp(67) From 1.4.234.158 - 1 packet to icmp(3) From 1.162.42.56 - 8 packets to udp(49602,57394,61436,65372 ...[/quote]

Je ne sais pas si c’est un gage de sécurité, mais ce site me donne ceci comme résultat :

[code]We have scanned your system for open ports and for ports visible to others on the Internet. As a rule an open port means your computer is vulnerable to attacks by crackers. They gain access to your computer and its files through these open ports.
At Risk!

Warning!
The test found visible port(s) on your system: 135, 137, 138, 139[/code]

Dois-je modifier certaines choses ?