Probleme avec Iptables

mafia · février 20, 2016, 8:53pm

salut moi je suis sous debian 5 en 32 bits et voici mon iptable .
parcontre j ai un petit probleme arrive plus install les serveurs cstrike ,Counter-Strike Source etc qui peut m 'aide merci
Failed to connect to any GeneralDirectoryServer

en plus je peut meme pas le stop

[code]#!/bin/bash
/etc/init.d/fail2ban stop
echo Setting firewall rules…

config de base

Vider les tables actuelles

iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

Autoriser SSH

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

Interdire toute connexion entrante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

Interdire toute connexion sortante

iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)

iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

Autoriser ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

Gestion des connexions entrantes autorisées

iptables -t filter -A INPUT -p <tcp|udp> --dport -j ACCEPT

#DNS
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

HTTP

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

Flash Media Server 2

iptables -t filter -A INPUT -p tcp --dport 1935 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1111 -j ACCEPT
echo - Autoriser serveur Flash Media Server 2 : [OK]

FTP

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

Mail

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

Steamcast

iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT
echo - Autoriser serveur ShoutCast autonome : [OK]

Webmin

iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
echo - Autoriser serveur Webmin : [OK]

#######################################################–Team-Speak–########################################################
#Le Serveur Team-Speak
#le support web
iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 14534 -j ACCEPT

#Le Serveur en lui même
iptables -t filter -A INPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51234 -j ACCEPT

#Le port d’écoute
iptables -t filter -A INPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 8767 -j ACCEPT

#######################################################–MUMBLE–############################################################
#Le Serveur Mumble des titen
iptables -t filter -A INPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 64000 -j ACCEPT

Syn-Flood

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]

Spoofing

iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]

/etc/init.d/fail2ban start

IPV6

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables --flush
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --delete-chain
echo “- Interdire IPv6 : [OK]”

echo Firewall mis a jour avec succes !

#################################################

Fonctions de lancement / arret

#################################################

Fonction qui lance les regles du firewall

start() {
echo "Demarrage du firewall"
regles_protection
RETVAL=?
echo
}

Fonction qui arrete les regles du firewall

stop() {
echo "Arret du firewall"
vide_regles
RETVAL=?
echo
}

Gestion de l argument

case “$1” in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
status)
/sbin/iptables -L
/sbin/iptables -t nat -L
RETVAL=?
;;
*)
echo "Usage : firewall {start|stop|restart|status}"
RETVAL=1
esac
exit[/code]

piratebab · février 20, 2016, 8:53pm

Je susi pas un expert en iptable, mais j’aurais mis les 3 lignes qui droppent les connexion avant les lignes ssh et connexions établies.

PascalHambourg · février 20, 2016, 8:53pm

Ton script est écrit en dépit du bon sens (je ne parle pas des règles mais du script) : les commandes de création des règles sont dans le corps et non dans des fonctions ou des blocs de sélection et donc sont exécutées systématiquement à l’invocation du script. Quant aux fonctions “regles_protection” et “vide_regles” apparemment censées créer et supprimer les règles, elles ne sont tout simplement pas définies…

Concernant le message d’erreur de CS, tu n’aurais pas oublié d’autoriser un certain port en sortie pour pouvoir contacter ce “GeneralDirectoryServer” ?

PS : la plage d’adresses “link local” est 169.254.0.0/16, pas /12.

fran.b · février 20, 2016, 8:53pm

Si tu veux pour faire un serveur CS, il te faut autoriser en sortie un certain nombre de ports, de mémoire et donc à vérifier:

UDP: 1200, 27000->27015, 27020
TCP: 27015, 27030->27045

et en entrée le port de ton serveur.

mafia · février 20, 2016, 8:53pm

comme sa

[code]#!/bin/bash
/etc/init.d/fail2ban stop
echo Setting firewall rules…

config de base

Vider les tables actuelles

iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

#####################################################–SSH–##################################################################

Autoriser SSH

iptables -t filter -A INPUT -p tcp --dport 222 -j ACCEPT
echo - Autoriser SSH : [OK]

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

Interdire toute connexion entrante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

Interdire toute connexion sortante

iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)

iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

Autoriser ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

Gestion des connexions entrantes autorisées

iptables -t filter -A INPUT -p <tcp|udp> --dport -j ACCEPT

######################################################–DNS–#################################################################

DNS entrant/sortant

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

######################################################–HTTP–################################################################

HTTP

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

######################################################–Flash Media Server 2–################################################################

Flash Media Server 2

iptables -t filter -A INPUT -p tcp --dport 1935 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1111 -j ACCEPT
echo - Autoriser serveur Flash Media Server 2 : [OK]

#######################################################–FTP–################################################################

FTP

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

#######################################################–MAIL–###############################################################

Mail SMTP:25

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

Mail POP3:110

iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

Mail IMAP:143

iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

Mail POP3S:995

iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

Steamcast

iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT
echo - Autoriser serveur ShoutCast autonome : [OK]

Webmin

iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
echo - Autoriser serveur Webmin : [OK]

#######################################################–Team-Speak–########################################################
#Le Serveur Team-Speak
#le support web
iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 14534 -j ACCEPT

#Le Serveur en lui même
iptables -t filter -A INPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51234 -j ACCEPT

#Le port d’écoute
iptables -t filter -A INPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 8767 -j ACCEPT
echo - Autoriser serveur Team-Speak : [OK]

#######################################################–MUMBLE–############################################################
#Le Serveur Mumble des titen
iptables -t filter -A INPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 64000 -j ACCEPT
echo - Autoriser serveur Mumble : [OK]

#######################################################–CSS–############################################################
#Serveurs de Jeux CSS
iptables -t filter -A INPUT -p tcp --dport 27015 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27015 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 27030 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27030 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 27045 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27045 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 1200 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 1200 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27015 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27015 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27020 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27020 -j ACCEPT
echo - Autoriser serveur de Jeux CSS : [OK]

Syn-Flood

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]

Spoofing

iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/16 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]

/etc/init.d/fail2ban start

IPV6

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables --flush
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --delete-chain
echo “- Interdire IPv6 : [OK]”

echo Firewall mis a jour avec succes !

#################################################

Fonctions de lancement / arret

#################################################

Fonction qui lance les regles du firewall

start() {
echo "Demarrage du firewall"
regles_protection
RETVAL=?
echo
}

Fonction qui arrete les regles du firewall

stop() {
echo "Arret du firewall"
vide_regles
RETVAL=?
echo
}

Gestion de l argument

case “$1” in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
status)
/sbin/iptables -L
/sbin/iptables -t nat -L
RETVAL=?
;;
*)
echo "Usage : firewall {start|stop|restart|status}"
RETVAL=1
esac
exit
[/code]

j ai une petite question je peut ajoute sa
en plus

[code]# Creation chaine rejet du flood udp 28
iptables -N REJECT_FLOOD28
iptables -A REJECT_FLOOD28 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 28: ’ --log-level info
iptables -A REJECT_FLOOD28 -j DROP

Drop des flood longueur paquet sur UDP

iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 28 -j REJECT_FLOOD28
iptables -A INPUT -i eth0 -p udp --dport 27025 -m length --length 28 -j REJECT_FLOOD28
iptables -A INPUT -i eth0 -p udp --dport 27050 -m length --length 28 -j REJECT_FLOOD28
iptables -A INPUT -i eth0 -p udp --dport 28000 -m length --length 28 -j REJECT_FLOOD28
iptables -A INPUT -i eth0 -p udp --dport 29000 -m length --length 28 -j REJECT_FLOOD28
echo - Drop des flood longueur paquet sur UDP 28 : [OK]

Creation chaine rejet du flood udp 46

iptables -N REJECT_FLOOD46
iptables -A REJECT_FLOOD46 -j LOG --log-prefix 'IPTABLES-FLOOD LENGTH 46: ’ --log-level info
iptables -A REJECT_FLOOD46 -j DROP

Drop des flood longueur paquet sur UDP

iptables -A INPUT -i eth0 -p udp --dport 27015 -m length --length 46 -j REJECT_FLOOD46
iptables -A INPUT -i eth0 -p udp --dport 27025 -m length --length 46 -j REJECT_FLOOD46
iptables -A INPUT -i eth0 -p udp --dport 27050 -m length --length 46 -j REJECT_FLOOD46
iptables -A INPUT -i eth0 -p udp --dport 28000 -m length --length 46 -j REJECT_FLOOD46
iptables -A INPUT -i eth0 -p udp --dport 29000 -m length --length 46 -j REJECT_FLOOD46
echo - Drop des flood longueur paquet sur UDP 46 : [OK][/code]

panthere · février 20, 2016, 8:53pm

hello
attention a tes log il von exploser il faut limiter le nombre d’entrée par un délait si tu reçois beacoup de paquet de taille 28:
http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/explicitmatches.html#limitmatch
je te conseil de t’interesser de plus près aux tutoreil
http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/

note limiter sur la taille des paquet peux faire laguer le serveur,comme le client.
le seul motif valable c’est une faille dont serveur/soft serait lier a la réception d’un paquet de taille 28 avec le code malsin.
j’avais utiliser cette méthode par le passer car le soft n’était plus maintenu et le bug très connu.

mafia · février 20, 2016, 8:53pm

bonsoir

j ai toujour un probleme avec steam pour temp les ports son bien ouvert
Failed to connect to any GeneralDirectoryServer

qui veux bien aide pour mon probleme avec mes regles iptables svp merci

Clochette · février 20, 2016, 8:53pm

[quote=“mafia”]bonsoir

j ai toujour un probleme avec steam pour temp les ports son bien ouvert
Failed to connect to any GeneralDirectoryServer

qui veux bien aide pour mon probleme avec mes regles iptables svp merci[/quote]

Comment ça ouvert ?
Tu peut “pinger” tes serveurs ?
Et ton teamspeak il fonctionne ?

mafia · février 20, 2016, 8:54pm

re bonjour

bon sa marche toujour pas pour css

mafia · février 20, 2016, 8:54pm

re

par contre le ssh sa marche

mais le mysql teamspeak css et le http sa marche pas

je suis sous debian etch avec un modem routeur voila mon nouveau fichier iptables

[code]#!/bin/bash
/etc/init.d/fail2ban stop
echo Setting firewall rules…

config de base

Vider les tables actuelles

iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

#####################################################–SSH–##################################################################

SSH entrant

iptables -t filter -A INPUT -p tcp --dport 222 -j ACCEPT

SSH sortant

iptables -t filter -A OUTPUT -p tcp --dport 222 -j ACCEPT
echo - Autoriser SSH : [OK]

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

Interdire toute connexion entrante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

Interdire toute connexion sortante

iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

######################################################–NTP–#################################################################

NTP sortant

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

######################################################–HTTP–################################################################

HTTP + HTTPS sortant

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

HTTP + HTTPS entrant

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT

echo - Autoriser serveur Apache : [OK]

MySQL

#MySQL entrant
iptables -t filter -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 3306 -j ACCEPT

#MySQL sortant
iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 3306 -j ACCEP
echo - Autoriser serveur MySQL : [OK]

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

Autoriser ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

Gestion des connexions entrantes autorisées

iptables -t filter -A INPUT -p <tcp|udp> --dport -j ACCEPT

######################################################–DNS–#################################################################

DNS entrant/sortant

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

echo - Autoriser les requetes DNS : [OK]

######################################################–Flash Media Server 2–################################################################

Flash Media Server 2

iptables -t filter -A INPUT -p tcp --dport 1935 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1111 -j ACCEPT
echo - Autoriser serveur Flash Media Server 2 : [OK]

#######################################################–FTP–################################################################

FTP

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

#######################################################–MAIL–###############################################################

Mail SMTP:25

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

Mail POP3:110

iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

Mail IMAP:143

iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

Mail POP3S:995

iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

Steamcast

iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT
echo - Autoriser serveur ShoutCast autonome : [OK]

Webmin

iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
echo - Autoriser serveur Webmin : [OK]

#######################################################–Team-Speak–########################################################
#Le Serveur Team-Speak
#le support web
iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 14534 -j ACCEPT

#Le Serveur en lui même
iptables -t filter -A INPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51234 -j ACCEPT

#Le port d’écoute
iptables -t filter -A INPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 8767 -j ACCEPT
echo - Autoriser serveur Team-Speak : [OK]

#######################################################–MUMBLE–############################################################
#Le Serveur Mumble des titen
iptables -t filter -A INPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 64000 -j ACCEPT
echo - Autoriser serveur Mumble : [OK]

#######################################################–CSS–############################################################
#Serveurs de Jeux CSS
iptables -t filter -A INPUT -p tcp --dport 27015 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27015 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 27030 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27030 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 27045 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 27045 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 1200 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 1200 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27015 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27015 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 27020 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 27020 -j ACCEPT
echo - Autoriser serveur de Jeux CSS : [OK]

Syn-Flood

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]

Spoofing

iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/16 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]

/etc/init.d/fail2ban start

IPV6

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables --flush
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --delete-chain
echo “- Interdire IPv6 : [OK]”

echo Firewall mis a jour avec succes !

#################################################

Fonctions de lancement / arret

#################################################

Fonction qui lance les regles du firewall

start() {
echo "Demarrage du firewall"
regles_protection
RETVAL=?
echo
}

Fonction qui arrete les regles du firewall

stop() {
echo "Arret du firewall"
vide_regles
RETVAL=?
echo
}

Gestion de l argument

case “$1” in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
status)
/sbin/iptables -L
/sbin/iptables -t nat -L
RETVAL=?
;;
*)
echo "Usage : firewall {start|stop|restart|status}"
RETVAL=1
esac
exit
[/code]

MERCI

mafia · février 20, 2016, 8:55pm

bonjour

c est il possible que bastille-firewall que par defaut soin en route si oui on peut le supprime

Clochette · février 20, 2016, 8:55pm

[quote=“mafia”]bonjour

c est il possible que bastille-firewall que par defaut soin en route si oui on peut le supprime[/quote]

C’est quoi bastille truc bidule … ? je connais pas, IPTABLE me satisfait amplement pour ce que j’ai à faire en générale.