regles iptables, vous en pensez koi ? (script...)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : regles iptables, vous en pensez koi ? (script...)

disconect

EDIT: C BON PLUS DE PROBLEME

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW,ESTABLISHED tcp dpt:www
ACCEPT tcp -- anywhere anywhere state NEW,ESTABLISHED tcp dpt:ssh
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ssh

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW,ESTABLISHED tcp dpt:www
ACCEPT tcp -- anywhere anywhere state NEW,ESTABLISHED tcp dpt:ssh
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Je viens de decouvrir iptables, pour moi tt fonctionne le nat & co, reste plus qu'a configurer mon serveur ssh....
Bon seulement, ces regles,j'ai l'impression que c'est pas tres tres secure tt ça

Help pliz :hello:

edit: en fait le ssh est bloque

Message édité par disconect le 10-01-2003 à 22:12:06

Publicité

udok

La racaille des barbus ©clémen

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

Aragorn_1er

Le jihad butlérian est proche

disconect a écrit :

Salut,

Pour ceux qui ne ci connaisse pas trop en iptables ( j'en fait partis ) y a un super script : http://monmotha.mplug.org/firewall/index.php

facile a configurerai et tu peux faire tout les trucs de base, sans te prendre la tête, mais bon c + instructif de faire son script soi même.

A+

disconect

udok a écrit :

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

bah j'ai mate plusieurs tutorial so....j'ai refait plusieurs fois la meme chose.....bon....koi donc j'enleve, etc..? [:twixy] :jap:

disconect

Aragorn_1er a écrit :

:jap: J'essairais ça ce soir, tu te sers de ce script ?
Si oui, pourrais tu faire un test de securite chez securityspace.com (gratuit, y a juste une chtite inscription qui dure 3 sec.) et me dire combien t'obtient ?

Merci bcp d'avance :jap: :hello:

le passant

Euh, ton script est une véritable passoire...

Met le en clair ici et on pourra plus facilement t'aider.

Le passant.

disconect

Le passant a écrit :

Euh, ton script est une véritable passoire...

Met le en clair ici et on pourra plus facilement t'aider.

Le passant.

j'ai pas de script, j'ai juste fait ça à l'arrche hier soir [:dawa] . De tte maniere, la passerelle est eteinte actuellement , tant que ce sera pas secure
Ce soir vais essayer le script qui est sur l'url donnée plus haut, t'en pense koi ?

Aragorn_1er

Le jihad butlérian est proche

disconect a écrit :

Bien sur que c sécuriser pas comme ton hum hum de script , j'ai quand même essayer le test de ton site et il ne m a rien trouver ...

disconect

Aragorn_1er a écrit :

Bien sur que c sécuriser pas comme ton hum hum de script , j'ai quand même essayer le test de ton site et il ne m a rien trouver ...

il t'a rien trouve ? cad:
- qu'a tu comme serveur qui tourne ?
et combien en pourcentage il t'as mis ?
et surtout quelle version du script t'utilises,
je pense que je vais utiliser la derniere (beta) car la stable date d'un an

Merci encore pr l'url :jap:

Aragorn_1er

Le jihad butlérian est proche

disconect a écrit :

Rien de rien, a par les 2 ,3 services que j'ai ouvert sur ma machine en me disant vous avez un serveur web patati patata ....
Mais tu peux utiliser sans pbs la dernier version du script ( c celle que j utilise )
Prochainement ( le dev du script n est po tres rapide ) sera releasé la version 2.4 du script si ca peux te rassurer ...

A+

Publicité

disconect

Aragorn_1er a écrit :

oki
suis en train de lire le mode d'emploi, vraiment EXCELLENT comme script :hello:

le passant

disconect a écrit :

Il semble très bien, un poil compliqué pour essayer de comprendre ce qui s'y passe, mais très complet.
Même si certaine choses peuvent être mieux faites (dans le cas particulier de l'utilisation que j'en ferait, mais comme c'est quelquechose de perso...).

Vas-y, lances-toi, tu pourra apprendre à le comprendre, tout en surfant secure, avant de poser un script plus... enfin mieux que ce que tu as fait hier soir .

Le passant.

Aragorn_1er

Le jihad butlérian est proche

Pour apprendre il suffit o debut du script de rajoute : "set -x"
apres tu matte le resultat sur la sortie erreur puis tu fait un grep /sbin/iptables

ca te permet de voir toutes les commandes iptables que le script generes, y a pu k faire un man apres pour voir a koi correspondent chaque lignes !

A+

disconect

heu....j'ai configurer mon script etc...,
je fais un

chmod +x iptabscript

puis un

bash iptabscript

: command not found74:
: command not found84:
: command not found08:
: command not found13:
: command not found19:
: command not found30:
: command not found33:
: command not found34:
: command not found42:
: command not found49:
: command not found53:
: command not found58:
Loading iptables firewall:
: command not found61:
: command not found64:
'ptabscript: line 522: syntax error near unexpected token 'do
'ptabscript: line 522:' for dev in ${LAN_IFACE} ; do

idem si je ne le configure pas .....
heu.....c'est pas avec

bash lenomduscript

qu'on execute un script ? [:quannum] (ça fait pareil avec sh).

Version de Bash 2.05b.0(1)-release

Message édité par disconect le 10-01-2003 à 19:44:39

Aragorn_1er

Le jihad butlérian est proche

Question bete tu as bien iptables d'installer? -> apt-get install iptables , et tout les modules iptables dans le noyau compiler ?

y a pas d'autres messages d'erreur ?
t sur d avoir remplie correctement le script ?

A+

disconect

Aragorn_1er a écrit :

heu oui [:ddr555]
alors les differentes etapes:
apt-get install kernel-imagemachine 2.4.20

puis j'ai mater iptables, pas de pb,
j'ai loader des modules de iptables donc je pense avoir fait ce qu'il fallait :??:

Aragorn_1er

Le jihad butlérian est proche

disconect a écrit :

bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!

A+

disconect

Aragorn_1er a écrit :

bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!

A+

heu...ça fait exactement la meme chose si je ne modifie pas le script enfin je balance qd meme

# Main Options
IPTABLES="/usr/sbin/iptables"
TCP_ALLOW="22"
UDP_ALLOW=""
INET_IFACE="ppp0"
LAN_IFACE="eth1"
INTERNAL_LAN="192.168.0.0/24"
MASQ_LAN="192.168.0.0/24"
SNAT_LAN=""
DROP="TREJECT"
DENY_ALL=""
DENY_HOSTWISE_TCP=""
DENY_HOSTWISE_UDP=""
BLACKHOLE=""
BLACKHOLE_DROP="DROP"
ALLOW_HOSTWISE_TCP=""
ALLOW_HOSTWISE_UDP=""
TCP_FW=""
UDP_FW=""
MANGLE_TOS_OPTIMIZE="FALSE"
DHCP_SERVER="FALSE"
BAD_ICMP="5 9 10 15 16 17 18"
ENABLE="Y"

[:spamafote]

voici un lsmod aussi:

Module Size Used by Not tainted
ipt_MASQUERADE 1272 2 (autoclean)
ipt_state 568 0 (autoclean)
iptable_mangle 2224 0 (unused)
ip_conntrack_irc 2992 1 (autoclean)
ip_nat_irc 2288 0 (unused)
ip_conntrack_ftp 3760 1 (autoclean)
ip_nat_ftp 2864 0 (unused)
iptable_nat 14552 3 [ipt_MASQUERADE ip_nat_irc ip_nat_ftp]
ip_conntrack 16672 4 [ipt_MASQUERADE ipt_state ip_conntrack_irc ip_nat_irc ip_conntrack_ftp ip_nat_ftp iptable_nat]
iptable_filter 1668 0 (autoclean)
ip_tables 10616 7 [ipt_MASQUERADE ipt_state iptable_mangle iptable_nat iptable_filter]
ppp_deflate 2904 0 (autoclean)
zlib_deflate 17688 0 (autoclean) [ppp_deflate]
bsd_comp 4024 0 (autoclean)
eepro100 17940 1
mii 2352 0 [eepro100]
3c509 10420 1
isa-pnp 28164 0 [3c509]
af_packet 11720 3 (autoclean)
ppp_async 6432 1 (autoclean)
ppp_generic 19360 3 (autoclean) [ppp_deflate bsd_comp ppp_async]
slhc 4560 0 (autoclean) [ppp_generic]
smbfs 32592 1
rtc 5884 0 (autoclean)
ext2 31520 1 (autoclean)
ext3 57440 0 (autoclean)
jbd 36136 0 (autoclean) [ext3]
ide-disk 9376 2 (autoclean)
ide-probe-mod 8656 0 (autoclean)
ide-mod 151624 2 (autoclean) [ide-disk ide-probe-mod]
unix 13512 6 (autoclean)

Message édité par disconect le 10-01-2003 à 20:37:11

Aragorn_1er

Le jihad butlérian est proche

Ah effectivement le script a l'air d'etre bugger, prends la version precedente alors !
il doit y avoir un pbs au niveau du retour a la ligne sur certaines commandes, genre la ligne qui depasse une ligne ce mes sur deux lignes et ca pause des pbs ...

disconect

Aragorn_1er a écrit :

ça te le fait aussi ?

Aragorn_1er

Le jihad butlérian est proche

oui , probleme de transfert de fichier peut etre !

disconect

yep c'etait le transfert de fichier, là je l'ai directement sauver à partir de lynx, et now, il me dit juste
"error, could not find /usr/bin/iptables" [:dawa]

reste qu'a trouver le chemin de iptables

disconect

a y est, firewall loade
bon now, configuration du serveur ssh et go to security space

Profil supprimé

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

disconect

yewsef a écrit :

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

:jap: merci mais je viens d'utiliser un pure-script , tt est nikel now :hello:

Profil supprimé

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :
ACCEPT all -- anywhere anywhere

...

disconect

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :
ACCEPT all -- anywhere anywhere

...

[:ddr555]
voilà ce qu'il m'a genere le script:

Chain INPUT (policy DROP)
target prot opt source destination
INETIN all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
INETIN all -- anywhere anywhere
INETOUT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
INETOUT all -- anywhere anywhere

Chain DMZIN (0 references)
target prot opt source destination

Chain DMZOUT (0 references)
target prot opt source destination

Chain INETIN (2 references)
target prot opt source destination
TREJECT all -- anywhere anywhere state INVALID
TREJECT icmp -- anywhere anywhere icmp redirect
TREJECT icmp -- anywhere anywhere icmp router-advertisement
TREJECT icmp -- anywhere anywhere icmp router-solicitation
TREJECT icmp -- anywhere anywhere icmp type 15
TREJECT icmp -- anywhere anywhere icmp type 16
TREJECT icmp -- anywhere anywhere icmp address-mask-request
TREJECT icmp -- anywhere anywhere icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
TREJECT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp !echo-request
TCPACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere state ESTABLISHED
TCPACCEPT tcp -- anywhere anywhere tcp dpts:1024:65535 state RELATED
UDPACCEPT udp -- anywhere anywhere udp dpts:1024:65535 state RELATED
TREJECT all -- anywhere anywhere

Chain INETOUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain LDROP (0 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `TCP Dropped '
LOG udp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `UDP Dropped '
LOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `ICMP Dropped '
LOG all -f anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `FRAGMENT Dropped '
DROP all -- anywhere anywhere

Chain LREJECTLTREJECT (0 references)
target prot opt source destination

Chain TCPACCEPT (2 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 20/sec burst 5
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 2/sec burst 5 LOG level warning prefix `Possible SynFlood '
TREJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch in TCPACCEPT '
TREJECT all -- anywhere anywhere

Chain TREJECT (13 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
DROP icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain UDPACCEPT (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch on UDPACCEPT '
TREJECT all -- anywhere anywhere

Chain ULDROP (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_ICMP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_FRAG' queue_threshold 1
DROP all -- anywhere anywhere

Chain ULREJECT (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_FRAG' queue_threshold 1
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain ULTREJECT (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_ICMP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_FRAG' queue_threshold 1
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
DROP icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

djmacou

Juste une chtite question puisqu'on parle¨d'iptables..

Voilà, je voudrait m'en servir pour partager ma connexion adsl surmon reseau mais ca marche pas....

Ma config : poste sous linux (Xandrso, noyau 2.4.x) connecté à l'adsl par un speedtouch...L'adresse de se poste est 192.168.0.1/24.

Les autres poste du réseaux son sous Win XP avec comme @ IP 192.168.0.2/24 et un autre en 192.168.0.3/24. Pour c deux postes la passerelle est 192.168.0.1 et le dns primaire 192.168.0.1.

Donc du coté client la configuration est bonne (enfin selon moi)

pour activer le partage de connection par iptables j'ai tapper en tant que root

Citation :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

Et après ca nemarche pas :??: pourtant pas de message d'erreur...

Si je ping d'un client une IP publique celle de yahoo par exemple, je n'obtient pas de réponse.....

est ce que j'ai configuré qqchose de travers ou est ce que j'ai oublié qqchose :??:

---------------
Linux n'est pas un OS alternatif, Windows est un OS alternatif!!!!

the_fireball

I have fucking failed

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :
ACCEPT all -- anywhere anywhere

...

faut arreter de psychoter sur ce genre de ligne. Suffit que tu rajoutes une entrée iptables du style

iptables -A INPUT -i lo -j ACCEPT

pour que ACCEPT all -- anywhere anywhere apparaissent dans la sortie de iptables -L INPUT

et pourtant ça n'a pas compromis la securité sur les autres interfaces, genre ppp0

---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.

le passant

djmacou > Quelles sont tes autres règles ???
C'est peut-être de la que provient ton problème.

Sinon, tu as essayé sans préciser le -s (même si je n'imagine pas du tout pourquoi ceci poserai un soucis).

Le passant.

djmacou

Le passant====> Je n'ai pas établis d'autres règle :whistle:
En fait je suis un débutant sous Linux. Je viens de virer windows et je me casse à essayer de faire tourner Linux....

J'ai choper cette commande sur le site toolinux.com et je penssait que pour activer le partage c'était suffisant apparement je me suis tromper..non?

Non je n'ai pas essayer sans le "-s" ( je sais meme pas ce qu'il veut dire). Bon j'ai compris ce que en gros voulais dire la ligne que j'ai tapé quand meme, mais les -s, -j etc.. je sais pas ce que sais.....

le passant

Bon, cette règle toute seule ne peut pas fonctionner.
Elle doit faire partie de tout un ensemble cohérant.

Chez toi, il est possible que tes policy soient à DROP (règles par défaut). Dans ce cas, rien ne peu fonctionner.
Ton nat est ok, mais après les packets sont droppés, donc soucis...

Je ne saurais trop te conseiller de regarder tous les topics qui existent sur le sujet ici (fait une recherche sur mon nick, j'ai fait comme toi aussi ).
Ainsi qu'a aller chercher de l'aide sur les divers How-to sur le net (un très bon que j'adore : http://www.netfilter.org/documenta [...] html#INTRO , mais bon c'est en anglais aussi).

Quitte à revenir plus tard si tu n'es toujours pas sûr et on pourra affiner tout ça à ce moment (moi ou un autre...).

Ta question me semble un peu "prématuré" pour l'instant (vu l'état de tes connaissances et sans être méchant, si on ne parle pas le même langage, comment ce comprendre ???).

Et puis pense à créer ton petit topic, ce sera un peu plus simple ainsi !

Le passant.

Message édité par le passant le 12-02-2003 à 16:58:19

djmacou

Le passant merci beaucoup pour tous tes conseils..... :jap:

C sur il faut parler le même langage ( je vais bosser la dessus)

J'ai hesiter à creer un topic pour mon pb mais comme il y en a dejà bcp sur iptables je voulais pas pourrir le forum de mes petit pb (y en a d'autre )

Publicité

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

regles iptables, vous en pensez koi ? (script...)

Sujets relatifs
[IPTABLES] discard daytime smtp time, à fermer ?	[aide pour ptit script en bash!]
configurer un firewall avec iptables	probleme de partage de connection avec iptables
un peu d'aide : iptables !	Petite question sur une règle Iptables...
cherche :un script qui me mailerai mon ip a chaque reconnexion	Question de stratégie Iptables ....
make xconfig & red hat 8 : pas de règles ...	Alerte iptables sur ip de la classe 10.X.X.X
Plus de sujets relatifs à : regles iptables, vous en pensez koi ? (script...)

Page générée en 0.112 secondes