Probleme avec IPTABLES

Support Debian
#1

Bonjour,

Depuis quelque années déjà sur Debian, je viens d’installer récemment un wheezy. Je ne me suis jamais vraiment intéresse a la sécurité de mon serveur mais je souhaite a présent faire un serveur digne de ce nom :wink:… pour le moment la question que je me pose c’est: après tout ce que j’ai lu sur le net (ici y compris) je me demandait si le faite de d’accepter les connections sortantes ne pose pas de problème de sécurité ? (eg: iptables -P OUTPOUT ACCEPT).

Je ne suis pas du tout un spécialiste de la sécurité et j’ai encore un peu de mal a comprendre si ce que je fais est bien ou pas.

Merci de m’éclairer (et d’en éclairer certainement d’autre qui n’ose pas poser les questions).

Nos…

#2

Accepter les connexions sortantes et entrantes n’est pas une faille de sécurité, c’est une règle de bon sens.

Parce que ma main gauche ne met pas des batons dans les roues de ma main droite.

#3

D’abord, une mise au point : “accepter les conneXions sortantes” n’est pas la même chose que

qui peut se traduire par “par défaut, accepter les paquets sortants”.
Une connexion fait intervenir des paquets dans les deux sens, aussi accepter les paquets sortants n’est pas suffisant.

Le contrôle des paquets ou connexions sortants n’est qu’une deuxième ligne de protection. En effet, il n’intervient que si des paquets ou connexion indésirables sont émis par la machine - l’idéal étant d’éviter en amont si possible que cela arrive, et ce n’est pas du ressort d’un pare-feu. Cette situation peut avoir plusieurs causes, notamment :

  • une compromission de la machine grâce à une faille de sécurité, conduisant à l’exécution d’un programme malveillant qui peut avoir besoin de faire des connexions sortantes pour télécharger sa charge utile, demander des instructions, transmettre des informations voire effectuer son sale boulot comme envoyer du spam ou tenter de compromettre d’autres machines ;

  • une action non autorisée d’un programme ou utilisateur légitime, car il n’est pas toujours possible de mettre en place des limitations au niveau applicatif.

Le second cas ne constitue pas forcément un risque de sécurité et le filtrage en sortie a plutôt pour but de faire respecter une politique définie. Dans le second cas, l’intrusion a déjà eu lieu, le filtrage n’est là que pour limiter ses conséquences possibles.

#4

sans problème, il existe pléthore de documentation sur le sujet, accessible depuis n’importe quel moteur de recherche :stuck_out_tongue:

#5

rebonjour,

merci pour vos réponses.

PascalHambourg: désolé pour la confusion, je l’ai pris d’un tutoriel et sur celui-ci, il parle de connexions et pas de paquets.
connais-tu une bonne documentation en Français pour que je puisse voir ce qui se passe dans les règles que j’ai mis en place pour mieux comprendre ce qui se passe.

agentsteel: oui il en existe un pléthore comme tu dis, mais tous dans un langage non profane pour le nouvelle utilisateur, et je pense que beaucoup, laisse tomber linux a cause de ça. C’est pour cela que je viens ici me renseigner :slightly_smiling: car depuis des années j’y est trouver moult solution, mais là, encore rien sur mon problème final qui est lier à IPtables bien sur :slightly_smiling:. En tout cas, merci pour les liens :wink:.

mon but final dans un premier temps: avoir un serveur LAMP sécurisé au maximum sur un serveur dédié (dedibox) sous debian wheezy 64bit avec un panel (ispconfig), un serveur ircd (UnrealircD) avec les services (anope), un 2eme ftp en deamon (DRftpD), des eggdrops pour la gestions des divers canaux de l’irc. voila c’est à peut près tout :smiley: le tout derrière IPtables, fail2ban etc…
Dans un dexieme temps migrer mon poste client Windows 7 en linux Debian…

Comme vous le voyez j’ai du boulot :smiley:

Bien à vous,

Nos…

#6

Tu as l’air motivé, c’est bien 8)

Ici on est toujours prêt à aider les personnes de bonne volonté.

Un bon début est effectivement de s’abreuver de bonne documentation. Celles de Debian sont bien faites et en plus en Français.

Un passage concernant le pare-feu ici par exemple :
debian.org/doc/manuals/secur … wall-setup

#7

En suivant le lien donné par agentsteel, tu trouveras un lien vers l’iptables-tutorial d’Oskar Andreasson. Très complet.

#8

bonjour,

Merci a vous pour vos reponses.

Nos…