Iptables

Bonjour tout le monde, j’ai essayé de me débrouiller avec “iptables” et je voudrais savoir ce qu’en pense les “grands”.
Comme vous pouvez voir j’utilise 3 interfaces ( câble:eth0, wlan0 chez un client, et ppp0 chez moi).
y a t’il des corrections à faire ??
Merci d’avance
JP
#!/bin/bash
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i wlan0 --dport ssh -j ACCEPT

iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i wlan0 --dport 80 -j ACCEPT

hello,

La toutes les connexions déjà établie qui entre par tes interfaces à destination des ports 22, 80 sur tcp sont acceptées, par contre tous ce qui transitent “FORWARD” entre tes interfaces n’est pas filtré, tous ce qui sort “OUTPUT” du firewall n’est pas filtré.

Salut Stonfi merci d’avoir jeté un oeil pense-tu que c’est bon ou qu’il y a moyen d’ameliorer ?? aurait tu un lien à ce propos ?
Merci à +

nbs-system.com/dossiers/howto-iptables.html

Ok avec ça j’ai de quoi passer le week end !
Merci a+

hello
Ajoute celui la a la liste, vu la chaleur un bonne bière
linux-france.org/prj/inetdoc … -tutorial/

Tu veux qu’on te dise quoi au juste ? C’est un peu comme si tu présentais un programme en demandant s’il est bien sans décrire à quoi il est censé servir.

Salut tlm,
Merci Panthere pour la doc.
Pascalhambourg ce que je voudrais savoir c’est si ça sert à qqchose ce que j’ai fait.
pour le forward j’ai toujours pas bien comprit à quoi ça sert (j’utilise qu’une interface à la foi) ou eth, ou ppp0, ou wlan.
j’ai fait un test de sécurité en ligne tout mes ports son silencieux seul ftp,ssh,http sont fermés.Ça me parait bon non?
Merci à tous a +

Si tu n’as pas activé le forwarding IP (ip_forward=1) pour que ta machine serve de routeur tu n’as pas besoin de t’occuper de la chaîne FORWARD d’iptables, aucun paquet n’y passera jamais de toute façon.

Pourquoi utiliser -I au lieu de -A pour insérer la deuxième règle ?

Si le comportement du pare-feu doit être le même quelle que soit l’interface connectée, tu n’as pas besoin de multiplier les règles pour chaque interface, il suffit de créer une règle sans spécifier d’interface :

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Tu peux même combiner les deux ports dans une seule règle :

iptables -A INPUT -p tcp m multiport --dport ssh,80 -j ACCEPT

Je n’en sais rien, ça dépend de ce que tu veux. Néanmois j’aurais quelques observations.

En gros tes règles autorisent toutes les connexions sortantes et seulement les connexions TCP entrantes sur les ports SSH (22) et 80 (HTTP). En général on faut ça quand la machine fait tourner un serveur SSH et un serveur web qu’on veut rendre accessibles de l’extérieur. Si un scan révèle que ces ports sont fermés, c’est qu’aucun de ces service ne tourne sur ces ports, sinon ils seraient ouverts. Alors pourquoi les autoriser dans les règles iptables ?

D’autre part le port FTP devrait être “silencieux” puisqu’il n’y a pas de règle iptables l’autorisant (ACCEPT) ou le rejetant (REJECT). Il se peut qu’un autre pare-feu en amont rejette les connexions FTP entrantes vers ta machine, certains FAI le font.

Pour finir, ton script ne réinitialise pas les chaînes avant de créer les règles. Cela peut avoir des effets de bord s’il y a déjà des règles.

# reinitialisation des chaines de la table filter

# politiques par defaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# vidage des chaines
iptables -F

# suppression des chaines utilisateur
iptables -X

Merci Pasqualhambourg, ton analyse vas me servir à rectifier les tirs , et surtout me
permet d’y voir plus clair et me confirme qu’il n’est pas nécessaire de répéter tout pour chaque interface.
Je vais aussi étudier plus le OUTPUT .
Merci a +