1 Dernière modification par Gimly (08-01-2007 18:46:30)

Sujet : Configuration iptable

Bonjour,

J'aurais besoin d'un petit coup pour configurer mon iptable (enfin surtout voir si mes reèles sont correct) car l'ancien panneau que j'utilisais gérer le pare-feu mais pas mon nouveau, donc je me suis décidéa créer un script iptables en cherchant des infos sur le net, voici ce que ça donne :

#vidage des tables
echo "Vidage des tables .... OK"
echo "--------------------------------"
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F

#on accepte tout sur la boucle local
/sbin/iptables -A INPUT -i lo -j ACCEPT

#Module pour FTP passif
modprobe ip_conntrack_ftp

#reduction attaque DoS (Denial Of Service) par timeouts

if [ -e /proc/sys/net/ipv4/tcp_fin_timeout ] &&
    [ -e /proc/sys/net/ipv4/tcp_windows_scaling ] &&
    [ -e /proc/sys/net/ipv4/tcp_timestamps ] &&
    [ -e /proc/sys/net/ipv4/tcp_sack ] &&
    [ -e /proc/sys/net/ipv4/tcp_max_syn_backlog ]
then
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    echo 0 > /proc/sys/net/ipv4/tcp_windows_scaling
    echo 0 > /proc/sys/net/ipv4/tcp_timestamps
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
fi

#############################################################
#autorise les ports et protocoles suivant :

#port http
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

#port ftp
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#port pop et pops
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
#/sbin/iptables -A INPUT -i ethp -p tcp --dport 995 -j ACCEPT

#port imap et imaps
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 143 -j ACCEPT
#/sbin/iptables -A INPUT -i eth0 -p tcp --dport 993 -j ACCEPT

#port SMTP
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT

#port DNS
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

#port SSH
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ! INVALID -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT

#port webmin
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 46789 -j ACCEPT

#ping
/sbin/iptables -A INPUT -p icmp -j ACCEPT

#############################################################
#protocoles interdit :

#pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
       echo 1 > $filtre
    done
fi

#pas de synflood 
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

#Pas de multicast :
/sbin/iptables -A OUTPUT -p igmp -j DROP

#Port Telnet
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 23 -j DROP

#bloquer tout le reste
/sbin/iptables -A INPUT -j REJECT
/sbin/iptables -P INPUT DROP

Je voulais savoir si les confirmés en la matière, pouvaient me dire si mes règles étaient bonne ou pas, s'il vous plait ?

Merci pour vos réponses smile

Gimly
Administrateur d'Espace4You => réseau de service Internet (hébergement + plateforme blog)

2

Re : Configuration iptable

Merci Alexismoy, je vais regarder cela smile

Gimly
Administrateur d'Espace4You => réseau de service Internet (hébergement + plateforme blog)

3 Dernière modification par Gimly (09-01-2007 17:20:01)

Re : Configuration iptable

Bon en faites,

Comme ça me saoulé, je me suis dit que j'allais passé par webmin XD, sauf que j'ai un soucis ... quand je clique sur "Appliquer la Configuration" et que je fais "Activer au Démarrage" si je vais sur un test de firewall, eh bien je vois que le pare-feu fonctionne pas. Voici des screens de mes règles :

http://www.espace4you.org/images/iptable02.jpg
http://www.espace4you.org/images/iptable01.jpg

et pourtant quand je fais un /sbin/iptables _L j ai ça :

hades:/home/romain# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh
Firewall   all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Firewall   all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain Firewall (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     tcp  --  anywhere             anywhere            tcp state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports domain state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports www state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports https state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports ftp state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports ssh state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports pop3 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports smtp state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports imap2 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport ports 46789 state NEW
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Si vous savez pourquoi, ça veut pas s'activer ? Merci pour vos réponses smile

PS : Par contre je voudrais bien être dans le groupe hébergeur. Ca serait cool car je suis l'admin de Espace4You et que je suis inscrit sur le RHIEN. Merci wink

Gimly
Administrateur d'Espace4You => réseau de service Internet (hébergement + plateforme blog)

4 Dernière modification par Gimly (16-01-2007 22:36:42)

Re : Configuration iptable

Ah mais carrément, tu me m'a mis la puce à l'oreille, je me suis loupé dans ma config ... J'ai viré la ligne ACCEPTER si l'interface d'entré est ETH0 et j'ai mis ETH0 dans toutes me règles de suite ça marche mieux XD

Merci Madko

Gimly
Administrateur d'Espace4You => réseau de service Internet (hébergement + plateforme blog)