Iptables, autoriser une connexion ssh

Bonjour,

je voudrais faire de mon serveur un serveur accessible avec ssh. J’ai ouvert les ports sur ma box et tout marche pour le mieu mais uniquement quand mon pare-feu est désactivé.
J’ai pourtant autorisé les connexions entrantes sur le port 22 mais la connexion ne se fait pas.

Voila les règles actives de mon pare-feu :

[code]Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
792 163K ACCEPT all – any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:www
0 0 ACCEPT all – lo any anywhere anywhere
8 843 LOG all – any any anywhere anywhere LOG level warning prefix Drop : ' 8 843 DROP all -- any any anywhere anywhere 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh 0 0 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www 0 0 ACCEPT all -- lo any anywhere anywhere 0 0 LOG all -- any any anywhere anywhere LOG level warning prefixDrop : '
0 0 DROP all – any any anywhere anywhere
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:ssh

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 180 packets, 25736 bytes)
pkts bytes target prot opt in out source destination
[/code]

Merci!

il faut par la meme autoriser les connexions sortantes sur le port 22 de manière à ce que le serveur puisse envoyer la réponse au client.

Si c’est vraiment un serveur dédié uniquement à cet usage, il peut être intéressant de le mettre en DMZ, mais avec des bonnes règles de pare-feu.

et je te conseillerai fail2ban pour le proteger des tentatives d’intrusion sur ssh par dictionnaire.

Non. Pour le serveur il n’y a qu’une connexion entrante, le serveur envoie les paquets depuis le port source 22. De toute façon on peut voir que la chaîne OUTPUT laisse tout passer.

@ ToadD :
Suggestion : pour lister les règles le format de la sortie d’iptables-save est plus lisible que celui d’iptables -vL car plus compact et proche de la syntaxe d’iptables.

L’ennui avec ton jeu de règle, c’est que la règle censée accepter les connexions SSH en entrée est après la première règle DROP qui bloque tout ce qui n’a pas été accepté par une règle précédente. Visiblement ton jeu de règles a un défaut : plusieurs règles dans la chaîne INPUT sont dupliquées, mais tout ce qui se trouve après la première règle DROP est sans effet.

Comment les règles sont-elles créées ? Script perso ? Gestionnaire de pare-feu ?

Non. Pour le serveur il n’y a qu’une connexion entrante, le serveur envoie les paquets depuis le port source 22. De toute façon on peut voir que la chaîne OUTPUT laisse tout passer.

@ ToadD :
Suggestion : pour lister les règles le format de la sortie d’iptables-save est plus lisible que celui d’iptables -vL car plus compact et proche de la syntaxe d’iptables.

L’ennui avec ton jeu de règle, c’est que la règle censée accepter les connexions SSH en entrée est après la première règle DROP qui bloque tout ce qui n’a pas été accepté par une règle précédente. Visiblement ton jeu de règles a un défaut : plusieurs règles dans la chaîne INPUT sont dupliquées, mais tout ce qui se trouve après la première règle DROP est sans effet.

Comment les règles sont-elles créées ? Script perso ? Gestionnaire de pare-feu ?[/quote]

Bien vu…

Erreur stupide =).

Les règles sont générées par un script personnel.

Merci encore.