Apprendre Iptables

bonjour a tous

j’ai configuré pas mal de choses sur ma DebiKal (Debian/Kali) a savoir fail2ban, portsentry mais pas encore Iptables
j’aimerais correctement faire un bonne config de celui-ci,

aussi j’ai vu sur le forum qu’il y a ce fil debian-fr.org/installation-p … t1901.html
es-t-il toujours d’actualité, puis-je l’utiliser ?

et enfin j’utilise openvpn quel serais la ligne correcte a inclure dans les script pour ne pas m’auto bloquer et en sachant que (si je ne dis pas de bêtises) je suis en ipv6 via vpn

pour l’exemple voici ce que me donne un iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere        

merci de votre aide

Ta configuration iptables est déjà parfaite

? là, faut m’expliquer.

Tiens, voici un tuto plutôt chouette : olivieraj.free.fr/fr/linux/information/firewall/

Sinon oui, le lien est encore valable. Un tour sur le wiki devrait te donner pas mal d’infos en plus : wiki.debian-fr.org/

Facile : le seul cahier des charges fourni par l’OP, c’est :

Le jeu de règles affiché réalise parfaitement cet objectif puisqu’il ne bloque rien.
(Comment ça je suis sarcastique ?)

salut a tous !!

et merci j’adore cette ambiance !!

donc , afin d’être plus clair dans ma demande c’était surtout au niveau de la config OpenVpn en suivant le tuto pour les nuls du forum que je demandais si cela n’allais pas m’auto bloqué , il est vrais que dans ce retour console tout va bien car il n’y a rien

j’ai donc commencer a potasser le lien de thuban , merci , j’ai aussi pu trouver iptables d’oreilly

je reviendrais vers vous si besoin !!

bonne journée

Tu n’apportes aucune information supplémentaire par rapport à ton premier message, et c’est toujours très insuffisant pour répondre.
Openvpn en tant que client ou serveur ou les deux ? Sur quel port ? En TCP ou UDP ? Quels types de flux vont passer dedans ? Les mêmes que sur l’interface réseau normale ou pas (ce qui justifierait un filtrage différencié par interface, non traité par le sujet en référence) ? Etant donné qu’avec le VPN ta machine aura deux interfaces, fonctionnera-t-elle en routeur ou pas ?

Cet ouvrage date de 2003, peut-on lui donner encore beaucoup de crédits?

Cela parait vieux pour un tuto

je vois d’apres ce que je comprends que tu a fait une securisation de base mais rien niveau firewall et tu te demande si en utilisant le script de ce forum sans la ligne qui va bien pour openvpn cela finalement te bloquerais si tu ne configurerais pas correctement iptables ?

ma premiére question est : qu’utilise tu comme modem de connexion ? wifi ? routeur ? box ? antenne de tesla ?(je plaisante)

la seconde : openvpn c’est un fait maison ou tu loue une connexion vpn ?

un lien des liens ? : docs.google.com/document/d/1Ol0 … q5Ot0/edit

isalo.org/wiki.debian-fr/Serveur_OpenVPN

[quote]je vois d’apres ce que je comprends que tu a fait une securisation de base mais rien niveau firewall et tu te demande si en utilisant le script de ce forum sans la ligne qui va bien pour openvpn cela finalement te bloquerais si tu ne configurerais pas correctement iptables ?
[/quote]

exactement ça !!

je suis sur un NeufBox4 , je pense que c’est un routeur non ?

je loue a l’année le service vpn

je vais voir pour les liens merci

C’est une box. Principalement un modem ADSL, avec une fonction routeur facultative. Mais c’est sans importance.

Alors le poste est client, le VPN est une connexion sortante et le jeu de règles proposé dans le sujet “pare feu iptables pour les nuls” qui autorise toutes les connexions sortantes ne le bloquera pas et traitera les flux à l’intérieur du VPN comme ceux à l’extérieur.

et hop pascal a répondu aussi bien que je l’aurais fait

oui , beaucoup ce trompent avec les box qui ne sont pas en mode routeur par défaut

tu n’as plus qu’a commencer ton script iptables et voir que tout baigne

Sans parler de tous ceux qui mélangent routeur, NAT et pare-feu.

un super grand merci a vous deux ,

oui c’est vrais je mélange un peu , je dois faire une sorte de dyslexie par moment mais de nos jour pour comprendre ça deviens un peu dur, il y a tout pleins de choses a connaitre et a savoir, cela devait être plus facile avant au début de l’informatique

je m’en vais tester tout cela

c’est pas moi qui t’en voudrais vas-y doucement mais surement ce n’est pas super compliquer non plus

j’ai suivi le tuto tout fonctionne , sauf pour la derniere manip
a savoir update-rc.d mon_parefeu start XX S . stop YY 0 6 .

mes fichiers correspondent aux tuto :

il me repond :

# update-rc.d mon_parefeu start 14 S . stop 08 0 6 . update-rc.d: using dependency based boot sequencing update-rc.d: warning: start runlevel arguments (S) do not match mon_parefeu Default-Start values (2 3 4 5) update-rc.d: warning: stop runlevel arguments (0 6) do not match mon_parefeu Default-Stop values (0 1 6)

normal ?

Oui, c’est normal. L’article est dépassé sur ce point. Depuis l’introduction d’insserv dans l’ancienne version Squeeze, l’ordonnancement des scripts d’init est contrôlé par les lignes Default-Start et Default-Stop de l’en-tête LSB. Il n’y a pas lieu de spécifier autre chose que “defaults”.

merci a tous , ça fonctionne , me reste plus qu’a bien apprendre les règles iptables/netfilter,

j’aimerais savoir une chose concernant les interfaces firewall , un dénommé Vuurmuur me plais bien , qu’en pensez-vous ? l’avez vous déjà utiliser ou testé ou le mieux du mieux est de rester en console ?!

EDIT :

j’ai tout de même une question (hé oui ) après toutes les commandes du parefeu et mis a part que cela fonctionne très bien la console m’a retourner

~$ sudo update-rc.d mon_parefeu Default-Start 11 S . stop 08 0 6 .
usage: update-rc.d [-n] [-f] <basename> remove
       update-rc.d [-n] <basename> disable|enable [S|2|3|4|5]
                -n: not really
                -f: force

The disable|enable API is not stable and might change in the future.

pareil si [quote] Il n’y a pas lieu de spécifier autre chose que “defaults”.[/quote]

[code]:~$ sudo update-rc.d mon_parefeu Defaults
usage: update-rc.d [-n] [-f] remove
update-rc.d [-n] disable|enable [S|2|3|4|5]
-n: not really
-f: force

The disable|enable API is not stable and might change in the future[/code]

je force donc ?!

en regardant dans les rc_d c’est pris en compte pour le démarrage j’imagine que c’est bon
(rhaaaalala il me faudrais un prof perso )

Default-Start, c’est seulement dans l’en-tête LSB du script, pas dans les paramètres d’update-rc.d. Dans la seconde commande, la casse n’est pas respectée (Defaults != defaults).

Connais pas. Mais un conseil : ne pas activer plusieurs gestionnaires de pare-feu simultanément sur une machine car ils risquent d’interférer l’un avec l’autre. Au mieux, le jeu de règles résultant sera celui de l’un des gestionnaires mais tu ne sauras pas lequel a priori ; au pire, ce sera un mélange des différentes règles, avec des résultats imprévisibles pouvant aller du trou béant au blocage total.

ok tout pigé , merci pascal , je rectifie de suite l’entête !! et je prend note au sujet des gestionnaires firewall , je reste comme ça pour l’instant

j’ai regarder car je ne le connaissais pas vuurmuur.sourceforge.net/manual.html
c’est de l’interface a la MidnightCommander , je pense que pour prendre un gestionnaire comme celui-ci il te faut au prealable bien connaitre iptables et le geré convenablement, sinon pour debuté il faut voir du coté Kmyfirewall si tu es via kde mais bon , comme le dit pascal le mieux c’est d’evité le gestionnaire pour cause de conflits, a une époque pour plusieurs pc reliers dans la maison j’utilisais par exemple ipcop .