Règles iptables ( vérification )

prohand · Février 21, 2016, 1:37am

Bonjour,

Je me suis configuré un petit fichier avec des règles iptables à l’interieur, en voici le contenu :

[code] #!/bin/sh

#Permet d’activer le mode passif
modprobe ip_conntrack_ftp
# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# —
# Ne pas casser les connexions etablies
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# —

# SSH In
iptables -t filter -A INPUT -p tcp –dport 22 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp –dport 22 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp –dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp –dport 123 -j ACCEPT
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 8443 -j ACCEPT

# FTP
iptables -A INPUT -i eth0 -p tcp –dport 21 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 20000:20050 -m state –state RELATED,ESTABLISHED -j ACCEPT
# Mail SMTP:25
iptables -t filter -A INPUT -p tcp –dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp –dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 143 -j ACCEPT

# Mail IMAPS:993
iptables -t filter -A INPUT -p tcp –dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 993 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp –dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 995 -j ACCEPT

# Nagios Check_nt:12489

iptables -t filter -A OUTPUT -p tcp –dport 12489 -j ACCEPT

# Nagios Check_ftp

iptables -t filter -A OUTPUT -s 192.168.0.3 -d 192.168.0.2 -p tcp –dport 21 -j ACCEPT

#Nagios Chek_Disk smb
iptables -t filter -A OUTPUT -s 192.168.0.3 -d 192.168.0.2 -p tcp –dport 445 -j ACCEPT

#Acces Prewikka
iptables -t filter -A INPUT -p tcp –dport 8000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 8000 -j ACCEPT[/code]

Je l’ai testé et il fonctionne parfaitement.
Je voulais savoir si il était correctement configuré et si il ne comporte pas de faille dans sa config.
Sachant que mon réseau est comme ceci :

Freebox : Pas de dhcp elle sert juste relai pour la connexion à internet.( Pas d’ip )
Routeur D-LINK DD-WRT : 192.168.0.1 ( DHCP … ) Il est le point centrale.
Mon serveur debian ( HTTP, MAIL, NAGIOS, Prelude ( IDS,HIDS ), FTP, DNS ( Pour accéder à mon nom de domaine depuis mes postes locaux ))
NAS : 192.168.0.2 ( Sert aussi de backup pour le serveur )
Les autres postes : Toutes les autres ip.

Plus de précision n’hésitez pas à me demander.

Merci à vous

prohand · Février 21, 2016, 1:37am

Personne ?

Merci

fran.b · Février 21, 2016, 1:37am

C’est incomplet, la question est: «Que veux tu faire avec cette machine? Quels sont les services qu’elle héberge?» Après on pourra te dire si oui ou non c’est adapté. Tel que tu sembles héberger un serveur DNS, un serveur Web, un serveur FTP (mais tu interdis les connexions sur un serveur FTP), tu héberges un serveur SMTP, un serveur POP3S et IMAP + IMAPS.

Sous ces remarques ça a l’air correct

prohand · Février 21, 2016, 1:37am

Les services que la machine héberge sont :

HTTP, MAIL, NAGIOS, Prelude ( IDS,HIDS ), FTP, DNS.

Tous le monde à accès à HTTP et HTTPS
Tous le monde à accès au mail ( IMAP,IMAPS,SMTP,POP3,POP3S)
Tous le monde à accès au ftp.
Le plugin check_nt sur les postes locaux sont acceptés
Le plugin check_smb est autorisé vers le NAS.
Le plugin chek_ftp est autorisé uniquement vers le NAS.
Le DNS est accessible uniquement sur mon réseau local.
Tous le reste est refusé par le serveur.

Eu… je pense n’avoir rien oublié.

Merci