Bonjour,
J’ai suivi ce tuto :
http://sorrodje.alter-it.org/index.php?article14/preparation-d-un-vks-ovh-avec-debian-6-0
Pour le moment tout mes ports sont ouvert.
Je suis en train de chercher pourquoi.
Bonne journée
Salut,
Je ne vais pas me taper deux pages de tutos…
Donne le script, la méthode pour le lancer au démarrage, et la sortie de iptables -S
C’est juste, excuse cette maladresse.
nb : je comprend rien mais je persévère.
Je ne sais pas comprend pas tout donc je te donne mon fichier complet. Cela évitera que tu me dis qu’il manque une information.
La commande iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
Et ce n’est pas normal car j’ai changé le port ssh 22 en 3546.
Mon fichier firewall actuel :
[code]#!/bin/sh
BEGIN INIT INFO
Provides: iptables
Required-Start:
Should-Start:
Required-Stop:
Should-Stop:
Default-Start: 2 3 4 5
Default-Stop: 0 1 6
Short-description: iptables
Description: Firewall
END INIT INFO
RAZ
iptables -t filter -F
iptables -t filter -X
FERMETURE TOTALE PAR DEFAUT
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
MAINTIEN DES CONNEXIONS EXISTANTES
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
AUTORISATION DU LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
AUTORISATION DU PING
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
AUTORISATIONS LIEES AUX SERVICES
SSH port 22
#iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
SSH port 3546
iptables -t filter -A OUTPUT -p tcp --dport 3546 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 3546 -j ACCEPT
DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
HTTPS
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21-j ACCEPT
[/code]
Toutefois j’ai un autre tuto qui me dit de faire ceci :
(dois-je procéder ainsi ? Pour éviter d confronter 2 tuto et de tomber sur une incompatibilité je préfère demander)
[quote]
Déplacez le script iptables dans /etc/init.d
sudo mv /emplacement/du/script/iptables /etc/init.d
Rendez ce script exécutable :
sudo chmod +x /etc/init.d/monIptables
Pour indiquer à votre ordinateur de l’utiliser au démarrage:
sudo update-rc.d monIptables defaults
Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
sudo iptables -L[/quote]
Second probleme. Si je tape :
ca me dit :
Désolé d’être aussi noob. Mais c’est bien les noobs qui ont le plus besoin d’aide 
MErci, et passe une agréable journée
Re,
Pas de problèmes, nous avons tous commencé au même niveau…
Il faut effectivement que ton script se lance au démarrage, donc il faut le copier dans /etc/init.d le rendre exécutable, et procéder à l’automatisation avec update-rc.d.
Pour lancer le script, il faut être “root”.
Soit:
Soit:
Le dièse (#) signifie que tu es SU (super utilisateur).
EDIT j’ai peu etre un truc qui ne va pas
Mon tuto m’a indiqué de toucher directement au fichier de destination:
Donc ce serait idiot de le copier à la place de lui même.
Toutefois. L’emplacement source n’existe donc pas. C’est grave ?
Devrais aussi avoir mon fichier firewall autre part ?
Toutefois ceci n’empèche pas de devoir faire cela :
Si je ne me trompe pas dans le nom de table.
Rendre le script exécutable :
Indiquer à votre ordinateur de l’utiliser au démarrage:
Je redémarrage avec service ssh restart ?
Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
# iptables -L
Salut,
[quote]Si je comprend bien donc.
$ sudo = #
tout depend mon logiciel,
sous putty j’ai #
sous un soft d’expert j’ai certainement juste $
[/quote]
Ceci ressemble à du SMS, si tu pouvais essayer de faire des phrases 
Désolé, Je reprendre de manière plus construite.
Si je comprend bien donc.
$ sudo est en fait la traduction de #
tout depend mon logiciel utilisé je suppose
sous putty, putty me met un # automatiquement.
sous un soft, certainement plus expert je suppose que je peut avoir juste $ à la suite de quoi je dois écrire sudo pour débuter ma ligne.
Cette partie est juste pour comprendre. Et pou éviter de faire de mauvais amalgame ou erreur diverses quand on me dira de faire ci ou ça.
Bonne journée
[quote=“westernz”]Désolé, Je reprendre de manière plus construite.
Si je comprend bien donc.
$ sudo est en fait la traduction de #
tout depend mon logiciel utilisé je suppose
sous putty, putty me met un # automatiquement.
sous un soft, certainement plus expert je suppose que je peut avoir juste $ à la suite de quoi je dois écrire sudo pour débuter ma ligne.
Cette partie est juste pour comprendre. Et pou éviter de faire de mauvais amalgame ou erreur diverses quand on me dira de faire ci ou ça.
Bonne journée[/quote]
Pour bien comprendre, il faut bien chercher. Tu ne trouvera pas meilleure explication que grâce à Google (retient cette technique).
http://fr.wikipedia.org/wiki/Sudo est la première réponse fournit par Google…
Donc si je suis log en tant qu’admin, c’est a dire que je me suis log comme user puis j’ai ouvert une session via su root. Je n’ai pas besoin d’utiliser sudo à chaque fois. Car je serai admin natif non ?
Attention “sudo” est une utilisation particulière, elle octroi à quelqu’un le droit de se comporter presque comme le super utilisateur ( en fonction des droits que l’on a octroyé à l’utilisateur dans le fichier sudoers ) le temps d’une commande.
Il y a aussi le “su -C” qui permet lui de se substituer au super utilisateur le temps d’une commande.
Maintenant l’utilisation de “su” permet de se loguer en super utilisateur tout court.
Maintenant je vais pas relancer le débats mais je trouve préférable l’utilisation de “su” avec parcimonie et de préparer un alias de “su -c” lorsqu’il le faut et sinon de se contenter d’un “sudo” pour filer des droits à des personnes extérieur ( avis perso inside me ).
Ok j’ai compris le sens des utilisation.
Pour soit (admin) de manière général, pour une autre personne sur une seule commande rapide, ou pour une autre personne (genre aide à distance).
Merci de m’avoir éclairci cela, je reste sur su tout simplement pour ne pas me compliqué les chose. Je retient juste que sudo c’est su si on est déjà loggé en tant qu’admin.
Quand au reste ?
https://www.debian-fr.org/iptable-au-demarrage-t38248.html#p385512
Parfait à l’avenir pense à Google en premier, c’est d’ailleurs valable pour chacun des tests que l’on te proposera de faire.
Difficile de comprendre où tu en es.
Pour reprendre du début : Tu souhaite mettre en place des règles de pare-feu sur ton serveur Debian afin de n’autoriser que des flux réseaux maitrisés. Parfait !
iptables -L te retourne quoi ?
/etc/init.d/iptables status te retourne quoi ?
Quel est le nom et le chemin de ton fichier de configuration ?
Si c’est du style “/etc/init.d/iptables_conf” :
ls -al /etc/init.d/iptables_conf te retourne quoi ?
more /etc/init.d/iptables_conf te retourne quoi ?
Bien évidemment toutes ces commandes nécessites les droits SuperUtilisateur, tu choisira donc de te connecter en root (# apparait dans le prompt) ou tu utilisera la commande “sudo”.
Juste pour dire un truc ch***t: j’ai tendance à penser “substitute user” pour su. Utilisé sans argument, il donne accés au compte root/admin (je n’aime pas le terme super utilisateur) mais il permet surtout de se connecter sous n’importe quel compte à partir d’une session déjà ouverte (pratique à la fac). Il permet de se substituer à 'utilsateur courant en qq sorte.
Ceci dit, google et le man parle de su=super-user aussi… chacun sa sauce.
[quote=“silver.sax”]Juste pour dire un truc ch***t: j’ai tendance à penser “substitute user” pour su. Utilisé sans argument, il donne accés au compte root/admin (je n’aime pas le terme super utilisateur) mais il permet surtout de se connecter sous n’importe quel compte à partir d’une session déjà ouverte (pratique à la fac). Il permet de se substituer à 'utilsateur courant en qq sorte.
Ceci dit, google et le man parle de su=super-user aussi… chacun sa sauce.[/quote]
Il est vrai, j’avoue avoir pris un raccourci sur le coup 
car c’est évidement ce qu’il rechercher.
Sinon pour un Iptable pourquoi ne pas utiliser l’un des deux tutoriels de ce forum présent dans la rubriques trucs et astuces ou dans le wiki il me semble.
Ils ont été mentionnées “pour les nuls” sans mauvaise connotation et sont bien documenter pour que tu puisse comprendre un minimum.
J’ai due réinstallé le serveur.
Je ferais tout à zéro c’est pas un mal.
Je noterai mes résultats pour vous les montrer un peu plus tard.
En attendant…
Je n’ai pas trouvé le tuto indiqué.
Celui-ci vous parait convenable ?
Vu mon état, je le lirai demain pour vérifier et affiner ce que j’ai mis de coté.
En espérant le comprendre jusqu’au bout.
nb : Ca n’a rien à voir mais taper au clavier (ce message) en écoutant un classique au piano ça fait bizarre.
Bonne nuit
Salut,
Dommage… 
Pour ce qui est de root, su, et sudo, un petit tuto: isalo.org/wiki.debian-fr/ind … ot-su-sudo
Pour ce qui est du script avec iptables: isalo.org/wiki.debian-fr/ind … troduction
Pense au Wiki, il est plein de tutos qui sont généralement simples.
Je relève ceci:[quote=“westernz”]
La commande iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
Et ce n’est pas normal car j’ai changé le port ssh 22 en 3546.
[/quote]
Si c’est normal, il s’agit de fail2ban, rien a voir avec iptables.
Pour changer le port de ssh, il faut modifier le fichier /etc/ssh/sshd_config
Il faudra ensuite modifier fail2ban pour qu’il surveille le port 3546
J’ai moi aussi utilisé un raccourci, su signifie bien substitute user.
Prend l’habitude de lire les manuels (tape man su en console). Il existent en français:
aptitude install manpages-frBonne route! 
message effacé
Au sujet du chmod.
Et du firewall.
Dans etc/init.d/ tout mes fichier déjà présent sont en 755 (rwxr-xr-x)
Sauf si j’ajoute un fichier, comme le fichier firewall qui est 644 quand je viens de le créer.
Si je note +x comme dans le tuto il passe en 755.
Je suppose que tous mes fichiers de ce dossier doivent être en 755.
Y compris de futurs fichiers
A moins que ?..
Dois-je passer le firewall en 755 ?
Dois changer en autre chose ?
Changer d’autres fichier ?
Bonne journée
Salut,
Effectivement, quand tu crée un fichier, par défaut il est en 644.
Avec un chmod +x tu le passes en 755, il devient exécutable, c’est ce qu’il faut pour un script (enfin au minimum il doit être en 500)
Ici encore, je te propose de la lecture: en.wikipedia.org/wiki/Chmod
Pour le reste de tes questions, je ne comprend pas.
EDIT :
nb : toujours pour une installation de base chez ovh. (faire simple quitte a avoir des services ouverts mais inutilisés.
Tuto suivi :
guide.ovh.com/fireWall
Je vais comparer avec le forum wiki debian pour voir si j’y comprend enfin quelque chose.
nb : merci d’excuser la fatigue.
CHMOD du firewall
Etant donné que je suis seul à travaillé sur le serveur et que je vais certainement encore faire des ajustement. Le chmod 700 serait il le plus recommandé ? Puis en 500 dès que ma config est terminée.
Scanner les ports
Comment fait on un scan de port, j’ai pas trouvé la ligne de commande. Je vais fouiller encore ce soir.
Ping
Est-ce utile de refuser les requêtes de ping ? Cela de va t il pas gêner les robots de référencement ou autre service utiles ? (autre que ceux de ovh)
Si j’ai bien compris je ne m’occupe du paragraphe "Serveur RPS " que si je bloque les ping.
TCP / UDP
A Partir de quel moment je dois mettre une exception sur la voix udp d’un port ?
Comment savoir si je dois mettre INPUT FORWARD ou OUTPUT ?
Outils inconnus
Je site les infos que je ne comprend pas. Et donc je ne sais pas si je dois les prendre en compte.
Drop
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
Pourquoi -P ?
Dans le tuto ovh j’ai -A
Et aucune info sur le pourquoi.
Bonne journée