Config Firewall - IpTable

ttrelax · Février 20, 2016, 4:43pm

Bonjour,
Juste un peu d’aide car je manque pour le momment sur Lunix (tros mois d’expérience), je travaille mais je pense que qu’il faut +++ d’exp.

Je voudrais, de l’aide pour vérifier la syntaxe de mes règles pour mon firewall.
Contexte:
1 - Tester, les règles pour une adresse :$MyIP
2 - Dans les trois cas ACCEPT, REJECT, et DROP
Merci d’avance
Salut

################################ Proposition de règles pour Firewall
#/bin/sh

Nous vidons les chaines

iptables -F

Suppression des chaines non standards

iptables -X

Par defaut tout est ferme

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

reinitialisation table NAT

iptables -t nat -F
iptables -t nat -X

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Translation d’adresse pour -s $MyIP qui sort vers l’internet

iptables -t nat -A POSTROUTING -s $MyIP -j MASQUERADE

les pings

iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

connexions locales

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

###################### Test $MyIP ACCEPT

connexions dns

iptables -A INPUT -s $MyIP -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -s $MyIP -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 53 -j ACCEPT

connexions http https

iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

connexions ftp

##Regles pour la passerelle
#######Afin qu’elle puisse accéder à un serveur ftp sur le net
#######la passerelle est donc cliente dans ce cas…

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

#ftp actif
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

Fin de config pour la passerelle

##Regles pour LAN

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

ftp actif

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

Fin de config LAN

###################### Test $MyIP REJECT

connexions dns

iptables -A INPUT -s $MyIP -p udp -m udp --sport 53 -j REJECT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 53 -j REJECT
iptables -A OUTPUT -s $MyIP -p udp -m udp --dport 53 -j REJECT
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 53 -j REJECT

connexions http https

iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j REJECT
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j REJECT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j REJECT
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j REJECT

connexions ftp

##Regles pour la passerelle
#######Afin qu’elle puisse accéder à un serveur ftp sur le net
#######la passerelle est donc cliente dans ce cas…

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j REJECT
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j REJECT

#ftp actif
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j REJECT
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j REJECT

Fin de config pour la passerelle

##Regles pour LAN

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j REJECT
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 21 -m state --state ESTABLISHED -j REJECT

ftp actif

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j REJECT
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j REJECT

Fin de config LAN

###################### Test $MyIP DROP

connexions dns

iptables -A INPUT -s $MyIP -p udp -m udp --sport 53 -j DROP
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 53 -j DROP
iptables -A OUTPUT -s $MyIP -p udp -m udp --dport 53 -j DROP
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 53 -j DROP

connexions http https

iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A OUTPUT -s $MyIP -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j DROP
iptables -A INPUT -s $MyIP -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j DROP

connexions ftp

##Regles pour la passerelle
#######Afin qu’elle puisse accéder à un serveur ftp sur le net
#######la passerelle est donc cliente dans ce cas…

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j DROP
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j DROP

#ftp actif
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j DROP
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j DROP

Fin de config pour la passerelle

##Regles pour LAN

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j DROP
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 21 -m state --state ESTABLISHED -j DROP

ftp actif

iptables -A FORWARD -s $MyIP -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j DROP
iptables -A FORWARD -i eth0 -s $MyIP -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j DROP

Fin de config LAN

panthere · Février 20, 2016, 4:43pm

salut
bon alors

Tu utilises pas le module multiport ,et il n’est pas forcement utile.

Je voit pas a quoi te sers:

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Car par défaut c’est sur accepte si je ne me plante pas.
Tu acceptes puis fermes le port 53 ?

je te conseil de faire un bout de script qui obtiens l’ip , l’adresse mac , et l’interface pour les placer dans une variable surtout l’ip et l’interface. man ifconfig

Tes regle sur


iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

Son trop tolérante.

Après on ne c’est pas ce qui concerne le réseaux local (lan) et le www ?
si ta machine fait office de serveur ? etc…

un tuto
linux-france.org/prj/inetdoc … -tutorial/
amuse toit bien
P.S regarde aussi du coter du module récent et le module Owner