Mon IPTables sous Debian 8

Texas24 · Mars 1, 2016, 4:58pm

Bonjour,

je suis sous Debian 8 et voilà mon iptables :
Mon résultat
`iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere
REJECT all – anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp – anywhere anywhere tcp dpt:http
ACCEPT tcp – anywhere anywhere tcp dpt:https
ACCEPT tcp – anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp – anywhere anywhere icmp echo-request
LOG
all – anywhere anywhere limit: avg 5/min
burst 5 LOG level debug prefix "iptables denied: "
REJECT all – anywhere anywhere reject-with icmp-port-unreachable

Chain FORWARD (policy DROP)
target prot opt source destination
REJECT all – anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all – anywhere anywhere`

Après mainte tentative voici le résultat permanent de mon iptables.
Sachant que c’est mon pc perso, que je souhaite éviter toutes intrusions
Sachant que je souhaite avoir accès au web
Sachant que test mon premier serveur Apache (et que personne de l’extérieur ne doit avoir accès)
Pensez-vous que c’est sufissant - trop - pas assez
si non quel serait la règle à mettre en place ou à modifier ?

bonne journée

Al · Mars 1, 2016, 7:39pm

Fais voir ton script ?

Parce que là, moi je lis la première règle INPUT -> ACCEPT all anywhere anywhere. Il ne va pas bloquer grand chose ton firewall…

Et puis tu sais, si tu es derrière un routeur (une box par ex.) pas besoin de firewall. (Sauf si ton petit frère est un hacker, là, je dis pas)

PascalHambourg · Mars 1, 2016, 9:54pm

Cette règle est probablement limitée à l’interface de loopback, mais la sortie incomplète et peu lisible de iptables -L ne le montre pas. Il vaut mieux utiliser iptables-save.

Texas24 · Mars 2, 2016, 9:20am

Bonjour,

voici ce que j’ai fait : Mon action

J’y ai tout détaillé. Bonne lecture.
Pour info à Al : Une fois que j’aurai fini un site web je vais ouvrir l’accès et donc faire une brèche dans la box. Mais pas pour le moment.

Tout est bon à prendre de votre part pour comprendre et savoir quoi fermer afin d’éviter toutes intrusions.

PascalHambourg · Mars 3, 2016, 7:29pm

Ton fichier de règles ne définit pas les politiques par défaut des chaînes (-P), c’est un risque.
Le script /etc/network/if-pre-up.d/iptables est exécuté et réapplique les règles à chaque fois que (et seulement si) une interface est configurée par ifup, je trouve que c’est moyen dans la mesure où ces règles ne dépendent pas de l’interface active.

grigric · Mars 6, 2016, 5:28pm

perso je conseille de mettre des firewall sur chaque machine, ca permet de faire dela protection en profondeur et compliquer la vie des bouffons.

pourquoi ne pas utiliser shorewall qui facilite vraiment la config de iptables ?