[résolu] installation iptables

[quote=“fran.b”]

[quote]debian:~# iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
debian:~# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
debian:~# iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
debian:~# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
debian:~# iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
debian:~# iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT[/quote]

Sinon, je ne vois pas où est le pbm, tu as ouvert les ports 21 et 22 entre autres, il est normal qu’ils apparaissent… Les autres ports ne sont pas scannés par ton truc.[/quote]
je fatigue fran
viewtopic.php?f=8&t=1901&start=0
voila le tuto:
Tapez les séquences suivantes (une ligne à la fois suivi de ‘Entrée’)

Pour un parefeu sans réseau :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT

je le répète j’ai suivi le tuto à la lettre
et le résultat que me donne ce site merdique, si vous voulez, ne me satisfait pas.
j’ai l’impression de parler en moravec…

Les ports “cachés”, c’est bidon. Un argument marketing en direction des trouillards. “Ahhhh votre bécane répond au ping ! Vous allez vous faire TROUER en moins de 10 secondes !”. Quelle blague.

Il ne faut pas appliquer le tutorial tel quel bêtement. Il faut le comprendre et l’adapter à ses besoins. Si ton besoin c’est que ta bécane ne réponde à aucune sollicitation IP venant de l’extérieur, alors supprime toutes les règles du type

Note pour Ricardo :
Pourquoi tu n’a pas encore supprimé la règle idiote qui bloque les paquets ICMP dans ton tuto, depuis le temps que je l’ai signalée ?

ben, c’est pas dit!
c’est présenté comme une config de base pour tout utilisateur lambda.
merci d’avoir pris la peine de lire mes posts PascalHambourg

J’avais bien lu mais je ne comprends toujours pas ton objection, c’est un parefeu pour les nuls, pas une carapace complète. Les services classiques sont le ssh, le ftp, le web, l’impression et parfois jabber. Ce parefeu laisse donc ouvert ces ports pour que le pequin lambda puisse faire marcher ces services. Avoir ces ports ouverts n’est pas gênant, ce sont des applications solides. Si c’est un serveur très sensible le gars ne consulte pas ce type de tuto. Donc encore une fois, je ne vois pas où est le pbm, quelqu’un qui utilise ces règles a quand même une machine très sûre: un trojan n’utilise pas le port ssh! Si tu veux une machine totalement fermée, tu vires toutes les lignes correspondant à ces ports. Peut être faudrait-il détailler ces lignes. De même une ligne indispensable pour une passerelle est de n’autoriser en sortie sur un port 25 que vers le SMTP du FAI utilisé mais là encore cela dépend de l’usage fait.

Si tu crois que c’est une mauvaise idée ces lignes, rajoute une précision dans le fil Ricardo mettre un renvoi sur le point concerné, comme ça ce sera clair pour tous.

D’après un ami qui m’avait renseigné pour mon firewall perso il m’avait conseillé de n’ouvrir que ce dont j’ai besoin et dans le cas d’un port pour le ftp ou le ssh était d’appliquer un tri avec les adresses MAC autorisé.

Mais je ne suis pas un pro, loin de là donc avise avec le tuto et applique avec précaution la politique de j’en ai besoin je l’ouvre et je surveille au cas où :smt002

Je ne suis pas trop d’accord avec toi, François.
Je ne suis pas convaincu que faire tourner un service accessible de partout soit une très bonne idée pour le “péquin lambda”. Le service le plus solide soit-il reste à la merci d’une erreur d’utilisation. Une faille dans un script PHP -> boum. Un mot de passe faible pour l’accès SSH ou FTP -> boum. Quant à dire qu’un trojan n’utilise pas SSH, je ne sais pas si le machin qui scanne le port SSH sur des plages d’adresses IP entières à partir de machines Linux manifestement compromises et fait du bruteforce sur des tas de logins est un trojan ou pas, mais en tout cas ça y ressemble.

Ok, donc il faudrait faire une modification dans le tuto de Ricardo… Je vais voir ça.
Edit: Ça va mieux comme ça?

[quote=“diod”]
le recensement tu es payés ou c’est bénévole?[/quote]Disons “dédommagé” du carburant = env. 50€ pour 5 semaines de vadrouille plus env. 1€50 par adresse plus encore env. 1€ par maison eznregistrée lors de la première reconnaissance. (mon district fait en gros 170 maisons). Je pense que ça doit me faire env. 500 € pour ces 5 semaines de ballade.
Perso, je prends, bien sûr mais je l’aurais fait aussi bénévolement, ce qui m’arrive souvent pour la Mairie et certaines assos.

[quote=“fran.b”][quote=“ricardo”]
Mais d ttes façons, Matt est plus compétant que moi et il t’a répondu. :smt002[/quote]
Jolie celle là .[/quote]Ah tu es content, hein !
Attends que je souligne en rouge ttes les fautes que tu fais.
“compétant” : c’est une de mes fautes préférées, celle du genre “elle ne rentrera jamais”.

[quote=“PascalHambourg”]
Note pour Ricardo :
Pourquoi tu n’a pas encore supprimé la règle idiote qui bloque les paquets ICMP dans ton tuto, depuis le temps que je l’ai signalée ?[/quote]J’ai ajouté l’indication.

J’ai eu la curiosité de vérifier mon parefeu, je tape "iptables-save"
Ben aucune règle ???
J’ai donc rechargé la mule mais je me demande encore ce qui a bien pu vider mes règles.
Est-ce qu’un dist-upgrade peut faire ça

[quote=“ricardo”][quote=“PascalHambourg”]
Pourquoi tu n’a pas encore supprimé la règle idiote qui bloque les paquets ICMP dans ton tuto, depuis le temps que je l’ai signalée ?[/quote]J’ai ajouté l’indication.[/quote]
Si cette règle était seulement inutile (comme la règle concernant le port 20) je n’en ferais pas un fromage. Mais elle est nuisible, car elle bloque des paquets ICMP qu’il n’y a pas lieu de bloquer, notamment les réponses au ping et les messages d’erreur ICMP (destination unreachable et compagnie). Résultat visible, ping et traceroute en sortie ne marchent pas car les réponses sont bloquées.

C’est marrant parceque ricardo a repris des éléments que je lui donnais, et je n’ai pas souvenir d’avoir dit de bloquer l’ICMP, au contraire.
D’autant plus que dans le tuto, il y a déjà une policy DROP par défaut sur l’INPUT, donc bloquer fait un peu double emploi.
C’est plutot un iptables -A INPUT -p icmp -j ACCEPT qu’il faudrait faire.
Quand par hasard, je laisse l’ICMP bloqué, je fais quand même les exceptions suivantes:

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 30 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT

Tu pourrais écrire le nom des types ICMP plutôt que leur numéro, ce serait plus parlant (“iptables -p icmp -h” pour la liste).

Pour ma part j’ai retiré le type 4 (source quench) de ma liste des types autorisés, à cause d’annonces de sécurité faisant état d’attaques possibles grâce à ce type ayant pour but de réduire le débit d’une communication. Bien sûr ce n’est pas le seul type ICMP qui permet de faire des attaques, mais celui-là n’est pas indispensable au bon fonctionnement du réseau contrairement au type 3 (destination unreachable) par exemple.

D’autre part je n’accepte pas inconditionnellement les types ICMP autorisés. Les types de réponse (ex: echo reply, timestamp reply) doivent avoir l’état ESTABLISHED, tandis que les types d’erreur (ex: destination unreachable, time exceeded, parameter problem) doivent avoir l’état RELATED. En première approximation on peut se contenter de la règle classique qui accepte les paquets dans l’état ESTABLISHED,RELATED, sauf si on se méfie de certains types d’erreur comme 4 (source quench) ou 5 (redirect). Du coup pas besoin de règle spécifique pour accepter les paquets ICMP, sauf si on veut laisser passer le ping (type 8, echo) ou d’autres types de requêtes ICMP qui auront l’état NEW (sauf un cas particulier de ping où le type 8 peut aussi avoir l’état ESTABLISHED).

Pourquoi autoriser spécifiquement le type 3/code 4 (fragmentation needed) alors que tu as déjà autorisé globalement le type 3 ?

Je ne connaissais pas le type 30 (traceroute). Tu t’en sers ? A ma connaissance les outils de traceroute classiques utilisent plutôt le type/code 11/0 (TTL exceeded in transit).

[quote=“PascalHambourg”]Tu pourrais écrire le nom des types ICMP plutôt que leur numéro, ce serait plus parlant (“iptables -p icmp -h” pour la liste).[/quote]Oui, mais j’ai ça recopié d’un iptables-save chez moi, et la restitution ne fournit pas les noms. [quote=“PascalHambourg”] Pour ma part j’ai retiré le type 4 (source quench) de ma liste des types autorisés, à cause d’annonces de sécurité faisant état d’attaques possibles grâce à ce type ayant pour but de réduire le débit d’une communication. Bien sûr ce n’est pas le seul type ICMP qui permet de faire des attaques, mais celui-là n’est pas indispensable au bon fonctionnement du réseau contrairement au type 3 (destination unreachable) par exemple.[/quote] Je note. [quote=“PascalHambourg”] D’autre part je n’accepte pas inconditionnellement les types ICMP autorisés. Les types de réponse (ex: echo reply, timestamp reply) doivent avoir l’état ESTABLISHED, tandis que les types d’erreur (ex: destination unreachable, time exceeded, parameter problem) doivent avoir l’état RELATED. En première approximation on peut se contenter de la règle classique qui accepte les paquets dans l’état ESTABLISHED,RELATED, sauf si on se méfie de certains types d’erreur comme 4 (source quench) ou 5 (redirect). Du coup pas besoin de règle spécifique pour accepter les paquets ICMP, sauf si on veut laisser passer le ping (type 8, echo) ou d’autres types de requêtes ICMP qui auront l’état NEW (sauf un cas particulier de ping où le type 8 peut aussi avoir l’état ESTABLISHED).[/quote]Oui, bon, on peut toujours améliorer, et je n’ai pas ton niveau. [quote=“PascalHambourg”] Pourquoi autoriser spécifiquement le type 3/code 4 (fragmentation needed) alors que tu as déjà autorisé globalement le type 3 ?[/quote] Pasque je ne comprenais pas parfaitement ce que je faisais. [quote=“PascalHambourg”] Je ne connaissais pas le type 30 (traceroute). Tu t’en sers ? A ma connaissance les outils de traceroute classiques utilisent plutôt le type/code 11/0 (TTL exceeded in transit).[/quote] Non, je ne m’en sers pas, mais c’est comme l’autre, j’ai lu je ne sais plus quoi je ne sais plus ou pour choisir ce que je filtrais ou pas en ICMP, et un ICMP semblant participer au traceroute m’a paru utile à ouvrir.

[quote=“mattotop”]C’est marrant parceque ricardo a repris des éléments que je lui donnais, et je n’ai pas souvenir d’avoir dit de bloquer l’ICMP, au contraire.
][/quote] Si, m^ que tu avais ajouté que toutefois, ça n’était pas dangereux .
Je vais essayer de retrouver mais ça va être difficile car assez ancien.

Te casse pas. pour une protection basique et simple à comprendre, tu remplace juste la cible DROP pour l’icmp par un ACCEPT.

Juste pour mettre mon grain de sel, j’ai effectué ce test et je doute sérieusement de sa fiabilité…

Je n’ai absolument pas configuré le firewall sur le desktop en ubuntu, pc familial, et bien il me sort que mon firewall est bien installé et configuré…que l’ordi est invisible…

Ça laisse songeur non?

A Ludo :
Avec ces distributions orientées desktop, il faut se méfier. Je ne connais pas du tout Ubuntu mais si ça se trouve c’est comme Mandriva qui active un pare-feu par défaut.

D’autre part, si le PC est derrière un routeur domestique ou une box ADSL qui fait routeur, alors c’est le routeur/box qui se fait scanner, pas le PC.

ah ba vi, le pc est derrière une machin-box, ça doit-être ça.

Je vais le configurer, ne sait-on jamais…