Bonjour,

suite a une attaque recente j’ai du formater mon debian lenny

J’ai décider de passer de lenny au squeez avec un kernel 2.6.32 !

J’ai trouver un tutoriel sur le forum pour crée un script qui s’enclanche des le démarage de la machine qui tourne sous iptables .

nano /etc/init.d/firewall

[quote]#!/bin/sh

Vider les tables actuelles

iptables -t filter -F

Vider les règles personnelles

iptables -t filter -X

Interdire toute connexion entrante et sortante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

—

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

ICMP (Ping)

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

—

SSH In

iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT

SSH Out

iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT

DNS In/Out

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

NTP Out

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

HTTP + HTTPS Out

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

HTTP + HTTPS In

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

FTP Out

iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

FTP In

iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Mail SMTP:25

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

Mail POP3:110

iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

Mail IMAP:143

iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

Mail POP3S:995

iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT [/quote]

Jusqu’a la tout va bien, je chmod ce dernier en 755 (pour pouvoir l’exécuter)

Je l’excute et je check iptables -L , tout est nikel

Maintenant, j’ai essayer de le metre au démarage automatiquement :

root@debian:/etc/init.d# update-rc.d firewall defaults update-rc.d: using dependency based boot sequencing insserv: warning: script 'K01firewall' missing LSB tags and overrides insserv: warning: script 'firewall' missing LSB tags and overrides

je me suis dit peut etre si je crée une redirection vers /bin sa fonctionnera

et donc j’ai fait

ln -s /etc/init.d/firewall /bin/firewall

puis jai ajouter dans /etc/rc.local

/bin/firewall start& exit 0

puis j’ai redemarrer sa a fonctionné .

maintenant je ne sais pas si j’ai bien fait ou pas ? car je souhaite utiliser update-rc.d firewall defaults pour être plus sur qu’il s’active au démarage.

Merci pour votre aide

Pour le tester, essaie en tapant

iptables-save

si tu as une réponse, c’est qu’il est valide.

[quote=“ricardo”]Pour le tester, essaie en tapant

iptables-save

si tu as une réponse, c’est qu’il est valide.[/quote]

Bonjour,

j’ai redémarrer la machine puis j’ai tester via effectivement, tous se que jai mis dans le script est afficher : Completed on Sun Jul 4 15:43:16 2010

Par contre, tout les sites entrant vers la machine etais droped

j’ai mis OUTPUT ACCEPT [8:340] et j’ai retester sa a l’air de marché !

J’ai désactivé

J’espère que la sécurité sera tjr assurer !

Il n’y a pas de raisons que ça ne fonctionne pas.
Chez moi, la règle générale c’est
iptables -t filter -P OUTPUT ACCEPT
Mais je suis seul à bord

& tu peux toujours te faire un test rapide en ligne : zebulon.fr/outils/scanports/quick_scan.php

je suis en mode texte, j’ai pas d’interface graphique

mais merci pour le lien

merci aussi ricardo

Avec ce genre de tests, on est toujours attaquable. Il me trouve plein de port ouverts qui ne peuvent pas l’être.

Hey, me revoila avec de nouveau probleme lol :

jai installer fail2ban pour bannir quelque ip qui veulent bruteforcer ssh et d’autre service.

[quote]2010-07-04 19:39:40,508 fail2ban.actions: WARNING [srv_signaturefailed] 41.201.xx.xx already banned
2010-07-04 19:40:57,592 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-04 19:41:35,634 fail2ban.actions: WARNING [srv_signaturefailed] 41.201.xx.xx already banned
2010-07-04 19:42:24,687 fail2ban.actions: WARNING [srv_signaturefailed] Ban 109.213.xx.xx
2010-07-04 19:42:24,689 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:42:24,690 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-04 19:42:24,698 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-04 19:42:24,699 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:42:24,700 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-07-04 19:42:28,704 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-04 19:43:03,742 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-04 19:43:35,778 fail2ban.actions: WARNING [srv_signaturefailed] 41.201.xx.xx already banned
2010-07-04 19:44:26,833 fail2ban.actions: WARNING [srv_signaturefailed] 109.213.xx.xx already banned
2010-07-04 19:45:09,879 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-04 19:45:29,899 fail2ban.actions: WARNING [srv_signaturefailed] 41.201.xx.xx already banned[/quote]

Jai eu une seule fois une ip banni lol par et les autres sous already banned mais sur iptables -L

la partie fail2ban est vierge, or d’habitudes quand un ip est banni il s’affiche sur la liste iptables.

j’ai aussi des erreurs lorsque j’essaye de restarter fail2ban, sous lenny 2.6.26 sa marché nikel … avec la même configuration mais now avec squeez 2.6.32 sa ne fonctionne pas car sur le daemon.log je voie constamment des raquette dont je veux bannir les émetteurs passer

une aide me serai d’une grande utilité.

Merci encore a tout le monde

Voila un nouveau log de fail2ban, sa a l’air de foiré quand il unban ip

[quote]2010-07-04 19:53:48,463 fail2ban.actions: WARNING [srv_signaturefailed] 41.201.175.75 already banned
2010-07-04 19:54:36,514 fail2ban.actions: WARNING [srv_signaturefailed] 109.213.39.40 already banned
2010-07-04 19:55:04,544 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.248.51 already banned
2010-07-04 19:55:33,575 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.194.32 already banned
2010-07-04 19:55:49,593 fail2ban.actions: WARNING [srv_signaturefailed] Unban 41.201.175.75
2010-07-04 19:55:49,595 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:55:49,595 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-04 19:55:49,603 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-04 19:55:49,605 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:55:49,605 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-07-04 19:56:20,639 fail2ban.actions: WARNING [srv_signaturefailed] Ban 41.201.175.75
2010-07-04 19:56:20,641 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:56:20,641 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-04 19:56:20,649 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-04 19:56:20,651 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:56:20,651 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-07-04 19:56:44,677 fail2ban.actions: WARNING [srv_signaturefailed] 109.213.39.40 already banned
2010-07-04 19:57:04,698 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.248.51 already banned
2010-07-04 19:57:41,738 fail2ban.actions: WARNING [srv_signaturefailed] Unban 85.171.196.163
2010-07-04 19:57:41,740 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:57:41,740 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-04 19:57:41,748 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-04 19:57:41,750 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-04 19:57:41,750 fail2ban.actions.action: CRITICAL Unable to restore environment[/quote]

le service que fail2ban doit surveiller est écouter par le port 54500 que bien entendu est ouvert en output et input sur iptables.

de mon coté j’ai fais le test , tout c’est passer correctement ,aucun soucie , tout est pratiquement fermer sauf evidement ce que je laisse ouvert

Je n’ai jamais reussi a masquer ce port 113 avec un pare feu…
La seule facon que j’ai trouvé pour que le site le détecte en tant que port masqué, c’est de faire une redirection de ce port sur ma freebox vers un adresse ip qui n’existe pas sur mon reseau. Et la, plus aucun pb : tous les ports sont masqués.

Tu peux m’expliquer plus en détails comment tu as fais.
J’ai effacé mon message précédent car ce n’était ptet pas prudent ???

Depuis ton interface de configuration freebox, tu vas dans les paramètres de routeur, Nat, et tu fais une redirection du port 113 tcp vers une adresse ip bidon (= ip qui n’est, ne sera pas, et ne risque pas d’être attribuée accidentellement a un pc du reseau) :

Tu rebootes la freebox, et tu refais ton test, normalement le port 113 n’apparaitra plus.
Je me demande si ce truc n’arrive pas qu’avec la freebox…

Bonjour,

et pour mon soucis fail2ban, quelqu’un aurai une idée ?

[quote]2010-07-05 13:21:41,581 fail2ban.actions: WARNING [srv_signaturefailed] Ban 90.14.xx.xx
2010-07-05 13:21:41,583 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-05 13:21:41,583 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-05 13:21:41,587 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed
iptables -F fail2ban-srv_signaturefailed
iptables -X fail2ban-srv_signaturefailed returned 100
2010-07-05 13:21:41,591 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-05 13:21:41,593 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-05 13:21:41,593 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-07-05 13:22:16,629 fail2ban.actions: WARNING [srv_signaturefailed] Ban 188.165.194.32
2010-07-05 13:22:16,631 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-05 13:22:16,631 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-05 13:22:16,639 fail2ban.actions.action: ERROR iptables -N fail2ban-srv_signaturefailed
iptables -A fail2ban-srv_signaturefailed -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_signaturefailed returned 200
2010-07-05 13:22:16,641 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_signaturefailed returned 100
2010-07-05 13:22:16,641 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-07-05 13:23:34,719 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:25:00,805 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-05 13:25:27,835 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:27:23,955 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:27:40,972 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-05 13:28:12,988 fail2ban.actions: WARNING [srv_badcommand] Ban 41.200.xx.xx
2010-07-05 13:28:12,990 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-srv_badcommand returned 100
2010-07-05 13:28:12,990 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-07-05 13:28:12,994 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54500 -j fail2ban-srv_badcommand
iptables -F fail2ban-srv_badcommand
iptables -X fail2ban-srv_badcommand returned 100
2010-07-05 13:29:13,064 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:30:31,145 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-05 13:31:08,183 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:32:59,297 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:33:31,331 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-05 13:34:56,419 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned
2010-07-05 13:36:16,503 fail2ban.actions: WARNING [srv_signaturefailed] 188.165.xx.xx already banned
2010-07-05 13:36:48,536 fail2ban.actions: WARNING [srv_signaturefailed] 90.14.xx.xx already banned[/quote]

ou deverai-je crée une new discutions ?

Merci par avance

[quote=“dric64”]Depuis ton interface de configuration freebox, tu vas dans les paramètres de routeur, Nat, et tu fais une redirection du port 113 tcp vers une adresse ip bidon (= ip qui n’est, ne sera pas, et ne risque pas d’être attribuée accidentellement a un pc du reseau) :

[attachment=0]Capture.png[/attachment]
Tu rebootes la freebox, et tu refais ton test, normalement le port 113 n’apparaitra plus.
Je me demande si ce truc n’arrive pas qu’avec la freebox…[/quote]
Impec, merci Dric !

[code]Testez la sécurité de votre ordinateur
Test de firewall : scanneur de ports TCP

Félicitation ! Votre sécurité semble optimale !
La totalité des ports TCP testés sont masqués, votre ordinateur ne donne donc aucune réponse aux tests de ports effectués. Votre machine est donc invisible aux yeux de pirates potentiels. [/code]

[/pollution_fil_fs_djmellisse]

Y a pas de quoi

Juste une remarque, le scanneur teste la freebox, pas la machine sauf dans le cas unique où la freebox est en mode bridge (mon cas) et non en mode routeur (cas de Ricardo). Pour tester la machine réellement, il faut diriger TOUS les ports vers la machine, le plus simple étant de la déclarer comme DMZ (la DMZ est sur les boxs (de manières impropre) une machine vers laquelle toutes les connexions entrantes sont routées par défaut). C’est la freebox elle même qui devait répondre sur le port 113 et non la machine.

Ca avait été ma première conclusion (que la freebox elle même bloquait le port, et que ca n’avait rien à voir avec la config de netfilter), mais (je le referai pour vérifier, car tu me mets le doute) il me semble que j’avais ce problème uniquement avec mes portables debian, et non avec le poste XP (avec KIS) qui est aussi derrière la freebox, et pourtant pas sur la DMZ, avec lequel le test était parfaitement réussi…

Bon, tu m’enlèves mes illusions de “protégé”, si j’ai bien compris
Disons que je reste un pov’ vulnérable et un potentiel attaqué.
Le Dieu Tux et la Princesse Débiane ne me laisseront donc jamais plus d’une heure de repos
Allez, je vais me venger sur un tas de cailloux à rentrer

[quote=“ricardo”]Bon, tu m’enlèves mes illusions de “protégé”, si j’ai bien compris
Disons que je reste un pov’ vulnérable et un potentiel attaqué.
Le Dieu Tux et la Princesse Débiane ne me laisseront donc jamais plus d’une heure de repos
Allez, je vais me venger sur un tas de cailloux à rentrer [/quote]

Mais non, t’inquiète, si tu restes derrière ta freebox, les resultats du test restent valables, car comme le souligne fran.b, lors du test, pour les ports non redirigés, c’est la freebox qui se prend les attaques en frontal.
Si tu bouges par contre…