faites peter vos conf de firewall !!!

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : faites peter vos conf de firewall !!!

jolly

ben vi koi !!

en fait j'avoue je galere encore un peu sur la miènne et je voudrais bien voir les votre
(avec des comentaire svp !!)

cf plus bas ce que j'ai fait !
pkoi ca passe pas ??

Message édité par jolly le 07-08-2002 à 18:05:49

Publicité

houplaboom42

http://www.sentry.net/~obsid/IPTab [...] ables.dual

un peu modifié

911GT3

en roue libre

http://freshmeat.net/projects/ipta [...] pic_id=151

jolly

houplaboom42 a écrit a écrit :

http://www.sentry.net/~obsid/IPTab [...] ables.dual

un peu modifié

dans ce truc la ya qqch que je comprend pas : par exemple t'a un alias de chaine DENY_PORT !
mais a aucun moment tu bascule tes chaines sur cet alias !
ya jamais de IPTABLES ...... -j DENY_PORT !

comment il les utilise ??

houplaboom42

jolly a écrit a écrit :

dans ce truc la ya qqch que je comprend pas : par exemple t'a un alias de chaine DENY_PORT !
mais a aucun moment tu bascule tes chaines sur cet alias !
ya jamais de IPTABLES ...... -j DENY_PORT !

comment il les utilise ??

bah si y en a

houplaboom42

sinon y a shorewall qu est vraiment pas mal mais qui fait beaucoup plus de choses ( tunnel , qos/tos ...) et qui est extrement simple a configurer

http://www.shorewall.net , la prochaine mandrake firewall ( mnf ) l utilise en backend

jolly

ya aussi bastille je croit mais j'sais pas pourkoi j'arrive aps a le faire fonctionner !!

dites yen a pas plus qui ont de regles de FW ??

Mjules

Modérateur
Parle dans le vide

Code :

#!/bin/sh
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
#stratégie par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
#création d'une nouvelle règle
iptables -N regle
iptables -A regle -m state --state NEW -i! ippp0 -j ACCEPT
iptables -A regle -m state --state ESTABLISHED,RELATED -j ACCEPT
#application de la règle au partage de connection
iptables -A INPUT -j regle
iptables -A FORWARD -j regle
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#mise en place du partage de connexion sur le réseau local
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ippp0 -j MASQUERADE

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

scorpio

moi personnellement je suis une couille niveau sécurité réseau sous linux

Si quelqu'un connait un site ou il y a des cours de réseau , clair et net.

Message édité par scorpio le 05-08-2002 à 17:57:33

Mjules

Modérateur
Parle dans le vide

http://christian.caleca.free.fr
et surtout là:
http://www.ac-creteil.fr/reseaux/s [...] lcome.html

Message édité par Mjules le 05-08-2002 à 18:04:25

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Publicité

djoh

Mjules a écrit a écrit :

et surtout là:
http://www.ac-creteil.fr/reseaux/s [...] lcome.html

in my bookmark :jap:

HORNY-Grandcornu

grumf !

j'en profite pour poser une question de newbie : après avoir lu les divers HowTo j'ai eu l'impression qu'un ipchains n'est nécessaire que lorsqu'on possède un rezo local. Donc pas besoin de firewall sous Nux, dans le cas d'une machine isolée?

e-deby

non

HORNY-Grandcornu

grumf !

ok ! Je suais déjà devant les tutoriaux de ipchains, avec toutes les jolies règles

enfin ça merite quand meme lecture

jolly

bon ben voila :
apres avoir regardé vos regles j'ai fait un debut de conf mais je coprend pas pourkoi ca passe pas :

Code :

#!/bin/sh
# Variables
IPTABLES=/sbin/iptables
INT_IF=eth0
EXT_IF=ppp0
DMZ_IF=eth1
INT_IP=192.168.0.1/24
INT_IP=192.168.5.1/24
# vidage complet
$IPTABLES -F
# vidage des regles de base
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
# suppression des regles créer par l'utilisateur
$IPTABLES -X
# police par default
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP # soyons un peu parano !
##------------------------------------------------------------------------##
# KEEP_STATE
# DROP INVALID connection.
$IPTABLES -A INPUT -m state --state INVALID -j DROP
# ACCEPT established connection.
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# DROP NEW from internet
# add rules for DMZ prerouting
$IPTABLES -A INPUT -i EXT_IF -m state --state NEW -j DROP
##------------------------------------------------------------------------##
# DROP "BAD PORT"
# DROP netbios
NETBIOS=137:139
$IPTABLES -A INPUT -p TCP --dport $NETBIOS -j DROP
$IPTABLES -A INPUT -p UDP --dport $NETBIOS -j DROP
##------------------------------------------------------------------------##
# ACCEPT PORT
#PORT TCP authorisé
# 20-21 -> ftp
# 22 -> ssh ?
# 53 -> domain - dns
# 80 -> http
# 443 -> https
# 110 -> POP ?
# 993 -> IMAPS
#
ALLOW_TCP=20,21,22,25,53,80,443,110,993
$IPTABLES -A INPUT -p TCP --dport $ALLOW_TCP -j ACCEPT
#PORT UDP authorisé
# 53 -> domain - dns
# 80 -> http
# 443 -> https
ALLOW_UDP=53,80,443
$IPTABLES -A INPUT -p UDP --dport $ALLOW_UDP -j ACCEPT
##------------------------------------------------------------------------##
# MASQUERADING
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE

dites moi aussi si vous voyez qu'il manque qqch !

jolly

en ce qui concerne la com sur le net :
au niveau des port : sont généralement authorisé :
20-21 -> ftp
22 -> ssh ?
25 -> transfert de mail
53 -> domain - dns
80 -> http
443 -> https
110 -> POP ?
993 -> IMAPS

par contre a dropper ya
137-139 -> netbios
et puis tous ceux des worms et autres virus
seulement la ca fait trop long a regarder !!

j'en ai oublié ??

Message édité par jolly le 07-08-2002 à 18:43:53

Tomate

moi ca marche po si je fais ca :
REFUSED=21,25,110,389,1720
iptables -A INPUT -i ppp0 -p TCP --dport $REFUSED -j DROP

ca me sort :
iptables v1.2.6a: invalid TCP port/service `25,110,389,1720' specified

pk ca marche po??

Message édité par Tomate le 07-08-2002 à 18:18:10

asphro

911GT3 a écrit a écrit :

http://freshmeat.net/projects/ipta [...] pic_id=151

Stoi ki fais ca c bow !!!!!!!!

jolly

tomate77 a écrit a écrit :

moi ca marche po si je fais ca :
REFUSED=21,25,110,389,1720
iptables -A INPUT -i ppp0 -p TCP --dport $REFUSED -j DROP

ca me sort :
iptables v1.2.6a: invalid TCP port/service `25,110,389,1720' specified

pk ca marche po??

ca doit etre le multiport qui n'est pas activé !!
ou qqch comme ca !

Tomate

c-a-d???

aurelboiss

tcp c en minuscule enfin si c ca ton probleme
@++

Gaellick

Quoi ??? Noooonn !! Si !

#!/bin/sh

echo "*************************************"
echo "* Demarrage/Arret du Firewall *"
echo "*************************************"
echo ""
echo ""
echo "Setting up Iptables rules ..."

case "$1" in
start)

echo "Start Iptables rules ..."

# Chemin vers Iptables

IPT="/sbin/iptables"

# Definition des interfaces

echo "Define interfaces ..."

DMZ_IFACE="eth0"
DMZ_ADDR="192.68.0.254"
BAD_IFACE="ppp0"
BAD_ADDR="62.xxx.xxx.xxx"
SRV_ADDR="192.168.0.1"
LO_IFACE="lo"
LO_ADDR="127.0.0.1"
LOCAL_NET="192.168.0.0/24"
LOCAL_BCAST="192.168.0.255"

# Vidage des chaines

echo "Flush tables ..."

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

echo "Flush all rules and chains ..."

$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

# Affectation des regles par defaut (DROP)

echo "Set Policies ..."

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Creation de chaines personnelles
# Une chaine par direction
# bad = ppp0 pour l acces internet
# dmz = eth0 pour l acces au reseau local

echo "Create non-default chains ..."

$IPT -X bad-dmz
$IPT -N bad-dmz
$IPT -X dmz-bad
$IPT -N dmz-bad
$IPT -X icmp-acc
$IPT -N icmp-acc
$IPT -X log-and-drop
$IPT -N log-and-drop

# Chaine speciale pour logguer les paquets

echo "Create log chains ..."

$IPT -A log-and-drop -m limit --limit 5/m -j LOG --log-prefix "IPT DROP : "
$IPT -A log-and-drop -j DROP

# Definition des regles

echo "Define rules ..."

# Elimination des paquets de demande de connection n ayant pas le flag SYN active

echo "Define protection rules ..."

$IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j log-and-drop
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j log-and-drop

# Elimination des paquets avec aucun ou tous les flags TCP actives
# (Protection contre les tests de port furtif)

$IPT -A FORWARD -p tcp --tcp-flag ALL ALL -j log-and-drop
$IPT -A FORWARD -p tcp --tcp-flag ALL NONE -j log-and-drop
$IPT -A INPUT -p tcp --tcp-flag ALL ALL -j log-and-drop
$IPT -A INPUT -p tcp --tcp-flag ALL NONE -j log-and-drop

# Protection syn-flood

$IPT -A FORWARD -p tcp --syn -m limit --limit 5/m -j ACCEPT
$IPT -A INPUT -p tcp --syn -m limit --limit 5/m -j ACCEPT

# Activation du masquerading

echo "Define MASQUERADE rules ..."

$IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Redirection des connexions destinees au serveurs HTTP et FTP

echo "Define PREROUTING rules ..."

$IPT -t nat -A PREROUTING -p tcp --dport 80 -i $BAD_IFACE -j DNAT --to $SRV_ADDR:80
$IPT -t nat -A PREROUTING -p tcp --dport 20 -i $BAD_IFACE -j DNAT --to $SRV_ADDR:20
$IPT -t nat -A PREROUTING -p tcp --dport 21 -i $BAD_IFACE -j DNAT --to $SRV_ADDR:21

# Blocage des paquets avec classes d adresses reservees ainsi que le multicast

echo "Define FORWARD rules ..."

$IPT -A FORWARD -i $BAD_IFACE -s 224.0.0.0/4 -j log-and-drop
$IPT -A FORWARD -i $BAD_IFACE -s 192.168.0.0/16 -j log-and-drop
$IPT -A FORWARD -i $BAD_IFACE -s 10.0.0.0/8 -j log-and-drop
$IPT -A FORWARD -i $DMZ_IFACE ! -s 192.168.0.0/24 -j log-and-drop

# On accepte les connexions deja etablies on log et drop les invalides

echo "Define STATE rules ..."

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state INVALID -j log-and-drop
$IPT -A INPUT -m state --state INVALID -j log-and-drop
$IPT -A INPUT -p tcp -j log-and-drop

# Transmission a la chaine correspondant au sens d arrivee des paquets

# En provenance de la passerelle vers internet

$IPT -A FORWARD -s $DMZ_ADDR -i $DMZ_IFACE -o $BAD_IFACE -j dmz-bad

# En provenance du reseau local vers internet

$IPT -A FORWARD -s $LOCAL_NET -i $DMZ_IFACE -o $BAD_IFACE -j dmz-bad

# En provenance d internet vers le reseau local

$IPT -A FORWARD -s $BAD_ADDR -i $BAD_IFACE -o $DMZ_IFACE -j bad-dmz

# On log et drop le reste

$IPT -A FORWARD -j log-and-drop

# On log et accepte les requetes ICMP

echo "Define ICMP rules ..."

$IPT -A icmp-acc -p icmp --icmp-type echo-request -m limit --limit 5/m -j LOG --log-prefix
IPT ICMP : "
$IPT -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
$IPT -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A icmp-acc -p icmp --icmp-type echo-request -m limit --limit 5/m -j ACCEPT
$IPT -A icmp-acc -p icmp --icmp-type echo-reply -m limit --limit 5/m -j ACCEPT

# On drop et log le reste

$IPT -A icmp-acc -j log-and-drop

# Chaine Exterieur --> Interieur
# On accepte les services mail, DNS, HTTP(S), SSH et FTP

echo "Define OUT --> IN rules ..."

$IPT -A bad-dmz -p tcp --dport smtp -j ACCEPT
$IPT -A bad-dmz -p tcp --dport domain -j ACCEPT
$IPT -A bad-dmz -p udp --dport domain -j ACCEPT
$IPT -A bad-dmz -p tcp --dport www -j ACCEPT
$IPT -A bad-dmz -p tcp --dport https -j ACCEPT
$IPT -A bad-dmz -p tcp --dport 20:21 -j ACCEPT
$IPT -A bad-dmz -p tcp --dport ssh -j ACCEPT
$IPT -A bad-dmz -p icmp -j icmp-acc
$IPT -A bad-dmz -j log-and-drop

# Chaine Interieur --> Exterieur
# On accepte les services mail, DNS, HTTP(S), SSH et FTP

echo "Define IN --> OUT rules ..."

$IPT -A dmz-bad -p tcp --dport smtp -j ACCEPT
$IPT -A dmz-bad -p tcp --sport smtp -j ACCEPT
$IPT -A dmz-bad -p tcp --dport 53 -j ACCEPT
$IPT -A dmz-bad -p udp --dport 53 -j ACCEPT
$IPT -A dmz-bad -p tcp --dport www -j ACCEPT
$IPT -A dmz-bad -p tcp --dport https -j ACCEPT
$IPT -A dmz-bad -p tcp --dport 20 -j ACCEPT
$IPT -A dmz-bad -p tcp --dport 21 -j ACCEPT
$IPT -A dmz-bad -p icmp -j icmp-acc
$IPT -A dmz-bad -j log-and-drop

# Chaine pour la passerelle elle meme

$IPT -N bad-if
$IPT -N dmz-if

# Chaine INPUT

echo "Define INPUT rules ..."

$IPT -A INPUT -i $BAD_IFACE -j bad-if
$IPT -A INPUT -i $DMZ_IFACE -j dmz-if
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

# Chaine OUTPUT

echo "Define OUTPUT rules ..."

$IPT -A OUTPUT -m state -p icmp --state INVALID -j log-and-drop
$IPT -A OUTPUT -o $BAD_IFACE -j bad-if
$IPT -A OUTPUT -o $DMZ_IFACE -j dmz-if
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

# Interface interne (Reseau local)

echo "Define IN interface rules ..."

$IPT -A dmz-if -p icmp -j icmp-acc
$IPT -A dmz-if -p ALL -j ACCEPT

# Interface externe (Internet)
# On accepte que les pings et SSH

echo "Define OUT interface rules ..."

$IPT -A bad-if -p icmp -j icmp-acc
$IPT -A bad-if -p tcp --dport ssh -j ACCEPT
$IPT -A bad-if -p tcp --sport ssh -j ACCEPT
$IPT -A bad-if -j log-and-drop

# Activation du forwarding de la passerelle

echo "Forwarding activation ..."

echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Start Iptables rules OK ..."
;;

stop)
echo "Stop Iptables rules ..."

echo "Delete tables rules ..."

$IPT -F
$IPT -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD

# On ferme toutes les connections

echo "Close connexions ..."

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Suppression des variables

echo "Delete variables ..."

DMZ_IFACE=""
DMZ_ADDR=""
BAD_IFACE=""
BAD_ADDR=""
LO_IFACE=""
LO_ADDR=""
LOCAL_NET=""
LOCAL_BCAST=""

echo "Stop Iptables rules OK ..."
;;

*)
# Pour tous les autres cas
# on rappelle la syntaxe du script et on quitte

echo -n "Usage : $(basename $0) start|stop (start for restart) ..."
exit 1
esac

#
#--- end of file

Message édité par Gaellick le 08-08-2002 à 02:18:53

---------------
Qui cherche le soleil évite la pluie !

jolly

Gaellick a écrit a écrit :

#!/bin/sh
......

ah celle la elle me plais bien avec sa DMZ !
merci gaellick

jolly

[:screamfr]

madsurfer

Boulet's eradicator

UP !

AlphaT

jolly a écrit a écrit :

ca doit etre le multiport qui n'est pas activé !!
ou qqch comme ca !

avec une boucle for ca aurait marché mais c'est un peu barbare

axey

http://www.00f.net

# Firewall rules - Jedi/Sector One <j@4u.net>

# Set

set limit { states 10000, frags 2000 }
set optimization normal

EXT = "vr0"
INT = "vr1"
INTNET = "10.1.1.0/24"
CARPE = "{ 212.208.244.0/24, 193.110.146.0/24 }"
NOOS = "{ 212.198.0.0/16, 195.132.0.0/16 }"
IPV6TUNNEL = "206.123.31.114"

# Scrub all traffic

scrub in on $INT all
scrub in on $EXT all

# NAT rules

rdr on vr1 proto tcp from $INTNET to any port 21 -> 127.0.0.1 port 8081
nat on vr0 inet from $INTNET to any -> vr0

# Block everything by default

block in log all label block-everything
block out log all label block-everything-out
block in log proto tcp all label block-everything-tcp

# Local traffic

pass in quick on lo0 all label pass-in-local
pass out quick on lo0 all label pass-out-local

pass in quick on $INT all label local
pass out quick on $INT all label local

# Block packets coming from reserved classes

block in quick on $EXT from { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, \
127.0.0.1, 255.255.255.255, 0.0.0.0/8, 192.0.2.0/24, 169.254.0.0/16, \
204.152.64.0/23, 224.0.0.0/3 } to any label block-reserved-networks

# Wanadoo reloo
block in log quick on $EXT from 217.128.174.0/24 to any label block-wanadoo

# Noos TCP
block in log quick on $EXT proto tcp from $NOOS to any label block-noos

# Banners
block return-rst in quick proto tcp from any to 64.28.67.21 label sfads

# IPv6
pass in quick on $EXT proto 0 from $IPV6TUNNEL to $EXT
pass out quick on $EXT proto 0 from $EXT to $IPV6TUNNEL

# Pass out every legacy protocol

pass out quick inet proto icmp all icmp-type echoreq keep state label \
passout-everything-icmp

pass out quick proto udp all keep state label passout-everything-udp
pass out quick proto tcp all flags S/SA keep state label passout-everything-tcp

pass out quick inet6 proto ipv6-icmp all keep state label \
passout-everything-icmp6

pass out quick inet6 proto udp all keep state label passout-everything-udp6

pass out quick inet6 proto tcp all flags S/SA keep state label \
passout-everything-tcp6

pass out log quick all label passout-default

# Outgoing connections from the internal network

pass in quick on $INT proto { icmp, udp } from $INTNET to any keep state \
label passout-localnet

pass in quick on $INT proto tcp from $INTNET to any flags S/SA modulate state \
label passout-localnet-tcp

# Public services

pass in quick on $EXT proto tcp from any to $EXT port > 49151 flags S/SA \
keep state (max 10) label public-ftpdata

pass in quick on $EXT proto tcp from any to $EXT port = ftp \
flags S/SA keep state (max 10) label public-ftp

pass in quick on $EXT proto tcp from any to $EXT port = www \
flags S/SA keep state (max 10) label public-www

pass in quick on $EXT proto tcp from $CARPE to $EXT port = pop3 \
flags S/SA keep state (max 10) label public-pop3

pass in quick on $EXT proto tcp from $CARPE to $EXT port = 20 \
flags S/SA keep state (max 10) label public-http-proxy

pass in quick on $EXT proto tcp from any to $EXT port = ssh \
flags S/SA keep state (max 10) label public-ssh

pass in quick on $EXT proto tcp from any to $EXT port = smtp \
flags S/SA keep state (max 10) label public-smtp

pass in quick on $EXT proto tcp from any to $EXT port = qmtp \
flags S/SA keep state (max 10) label public-qmtp

pass in quick on $EXT proto udp from any to $EXT port = domain \
keep state (max 50) label public-dns

pass in quick on $EXT proto tcp from any to $EXT port = cvspserver \
flags S/SA keep state (max 10) label public-cvspserver

pass in quick on $EXT proto tcp from any to $EXT port = auth \
flags S/SA keep state (max 10) label public-fakeidentd

pass in quick on $EXT proto tcp from 80.67.173.196 to $EXT port = domain \
flags S/SA keep state (max 10) label public-dns-tcp

# Edonkey

pass in quick on $EXT proto tcp from any to $EXT port = 4661 flags S/SA \
keep state (max 50) label public-edonkey-1

pass in quick on $EXT proto tcp from any to $EXT port = 4662 flags S/SA \
keep state (max 50) label public-edonkey-2

pass in quick on $EXT proto udp from any to $EXT port = 4665 keep state \
(max 50) label public-edonkey-3

# Hurricane Electric (tunnelbroker.net)

pass in quick inet proto icmp from 64.71.128.0/24 to $EXT icmp-type echoreq \
keep state label he-ping

pass in quick inet from 64.71.128.82 to $EXT

impulse

Up !
Qqun utilise Shorewall (voir lien donné plus haut par houpla) ?
J'utilise le MonMotha's IPTables Firewall pour l'instant mais je voudrais utiliser QOS, quel script me conseillez vous pour firewall/router/qos ?

HJ	Posté le 27-12-2002 à 22:08:09 héhé très bon sujet ça y en a d'autres ?

HJ	Posté le 29-12-2002 à 11:56:19 up

lionz

jolly a écrit :

c'est pas une bonne stratégie de tout accepter puis de droper. il faut tout droper (iptables -P INPUT DROP et éventuellement pareille pour OUPUT pour les paranos) puis ensuite tu acceptes peu a peu les connexions aux ports que tu utilises.

voici une ancienne config que j'utilisais, y a de quoi se faire une idée bien qu'elle aie passablement changé depuis.

http://lionz.ath.cx/firewall.txt

Message édité par lionz le 29-12-2002 à 12:46:23

matthias

ma version actuelle , en travaux , loin d'être optimal

Code :

#!/bin/sh
#Script perso version test
#IP Statique
IP_NET=$4
#NET correspond à l'interface réseau connecté à Internet
NET=$1
#LAN correspond au reseau local
LAN=$2
#Adresse machine Windows NATé
PC_WIN=$3
echo "Mise en place firewall dur & NAT de $NET vers $LAN"
#---------------------------------
#Vidage des chaînes
iptables -F
#Destruction des chaînes "personnelles"
iptables -X
#---------------------------------
#---------------------------------
#Stratégie par défaut:
#Nous n'acceptons plus rien ni en entrée
#ni en traversée de la passerelle
#Mais nous acceptons tout ce qui sort (localement) de la passerelle
#INPUT et FORWARD sont DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
#OUTPUT est ACCEPT
iptables -P OUTPUT ACCEPT
#---------------------------------
#----------------------------------
#Règles
#
#Maintenant, nous allons créer une chaîne particulière, que nous allons
#appeler "SuiviConnexions" et qui va gérer ce suivi.
# Création d'une chaîne personnelle: "SuiviConnexions"
iptables -N SuiviConnexions
# Filtrage de suivi dans cette chaîne:
# Seules les nouvelles connexions qui ne viennent pas du Net sont acceptées
# (ppp0 est l'interface sur le Net)
iptables -A SuiviConnexions -m state --state NEW -i ! $NET -j ACCEPT
# Toutes les connexions établies et relatives sont acceptées
iptables -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT
#Règle pour logger/dropper les packets des scans , DoS
iptables -N BadPackets
iptables -A BadPackets -m state --state INVALID \
-p tcp --tcp-flags ALL NONE \
-m limit --limit 3/s \
-j LOG --log-prefix "NULL scan packet"
iptables -A BadPackets -m state --state INVALID \
-p tcp --tcp-flags ALL NONE -j DROP
iptables -A BadPackets -p ALL -m state --state INVALID \
-m limit --limit 3/s \
-j LOG --log-prefix "Invalid packet:"
iptables -A BadPackets -p ALL -m state --state INVALID -j DROP
iptables -A BadPackets -p tcp ! --syn -m state --state NEW \
-m limit --limit 3/s \
-j LOG --log-prefix "New not syn:"
iptables -A BadPackets -p tcp ! --syn -m state --state NEW -j DROP
iptables -A BadPackets -m state --state NEW \
-p tcp --tcp-flags ALL FIN,URG,PSH \
-m limit --limit 3/s \
-j LOG --log-prefix "Scan-XMAS:"
iptables -A BadPackets -m state --state NEW \
-p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A BadPackets -p tcp --tcp-flags SYN,FIN SYN,FIN \
-m limit --limit 3/s \
-j LOG --log-prefix "SYN/FIN:"
iptables -A BadPackets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A BadPackets -p tcp --tcp-flags SYN,RST SYN,RST \
-m limit --limit 3/s \
-j LOG --log-prefix "SYN/RST:"
iptables -A BadPackets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A BadPackets -p tcp --tcp-flags RST RST,ACK \
-m limit --limit 3/s \
-j LOG --log-prefix "RST/ACK: "
iptables -A BadPackets -p tcp --tcp-flags RST RST,ACK -j DROP
iptables -A INPUT -j BadPackets
iptables -A FORWARD -j BadPackets
iptables -A INPUT -j SuiviConnexions
iptables -A FORWARD -j SuiviConnexions
# Autres regles INPUT
iptables -A INPUT -p ALL -d 255.255.255.255 -j DROP
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
# Autres regles FORWARD
# Autres regles OUTPUT
# prevention anti exploit
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
#---------------------------------
# NAT
# Init. des tables NAT et MANGLE:
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Mise en place du NAT
echo "Activation Proxy transparent"
# Redirect HTTP for a transparent proxy
iptables -t nat -A PREROUTING -p tcp --destination-port 80 \
-j REDIRECT --to-ports 8080
# Redirect HTTPS for a transparent proxy
iptables -t nat -A PREROUTING -p tcp --destination-port 443 \
-j REDIRECT --to-ports 8080
iptables -t nat -A POSTROUTING -s $LAN -o $NET -j SNAT --to $IP_NET
#ligne commente car option a yes dans /etc/network/options
#echo 1 > /proc/sys/net/ipv4/ip_forward
# Extensions
#echo "Redirection traffic entrant et autorisation pour eDonkey pour ID High "
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 4661 -j DNAT --to $PC_WIN
iptables -t nat -A PREROUTING -i $NET -p udp --dport 4665 -j DNAT --to $PC_WIN
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 4662 -j DNAT --to $PC_WIN
iptables -A FORWARD -p udp --dport 4665 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4661 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4662 -j ACCEPT
echo "Autoriser le traffic serveur PVPGN"
iptables -A INPUT -p udp --dport 6112 -j ACCEPT
iptables -A INPUT -p tcp --dport 6112 -j ACCEPT
iptables -A INPUT -p tcp --dport 6200 -j ACCEPT
echo "QoS basique Warcraft III : TOS a 0 , QoS doit être compiler ds noyau "
iptables -A PREROUTING -t mangle -p tcp --dport 6200 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --dport 6112 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --dport 6112 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --dport 6119 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --dport 6119 -j TOS --set-tos Minimize-Delay
iptables -A OUTPUT -t mangle -p tcp --sport 6112 -j TOS --set-tos Minimize-Delay
iptables -A OUTPUT -t mangle -p udp --sport 6112 -j TOS --set-tos Minimize-Delay
iptables -A OUTPUT -t mangle -p tcp --sport 6200 -j TOS --set-tos Minimize-Delay
iptables -A POSTROUTING -t mangle -p udp --sport 6119 -j TOS --set-tos Minimize-Delay
iptables -A POSTROUTING -t mangle -p tcp --sport 6119 -j TOS --set-tos Minimize-Delay
echo "Autoriser creation partie depuis le LAN"
iptables -t nat -A PREROUTING -i $NET -p udp --dport 6119 -j DNAT --to $PC_WIN
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 6119 -j DNAT --to $PC_WIN
iptables -A FORWARD -p udp --dport 6119 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6119 -j ACCEPT
#echo "Autoriser serveur CVS"
iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
#echo "Autoriser Apache"
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT
# La fameuse derniere règle
iptables -N LOG_AND_DROP
iptables -A LOG_AND_DROP -p tcp --dport ! 4662 -m limit --limit 2/s -j LOG \
--log-prefix "Last_Rule:"
iptables -A LOG_AND_DROP -j DROP
iptables -A INPUT -j LOG_AND_DROP
iptables -A FORWARD -j LOG_AND_DROP

jolly

lionz a écrit :

c'est pas une bonne stratégie de tout accepter puis de droper.

j'suis pas sur que t'ai tout lu !!
j'suis d'abord parti en DROP dans input, output, et forward
et j'ai fait qq modif ..
mais pour ce qui viens de l'interieur de mon reseau j'en avaismarre d'ouvrir un par un les ports pour les jeux, icq, msn ...

voila mon script:

#!/bin/sh

# Vidage des chaines
iptables -F

# Destruction des chaines personnelles
iptables -X

# Ignorer toute connexion
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Activation du traffic localhost et eth1 (lan)

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

# Connexions etablies et relatives acceptees

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Activation DHCP

iptables -A INPUT -i eth0 --protocol udp --source-port 67 -j ACCEPT -m state --state NEW
iptables -A INPUT -i eth0 --protocol udp --source-port 68 -j ACCEPT -m state --state NEW

# Activation DNS

iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

# Activation SSH

iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT

# Activation Server FTP

iptables -A INPUT --protocol tcp --destination-port 21 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 20 -j ACCEPT

# Activation Server Web

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT

# Activation smtp (25)

iptables -A INPUT --protocol tcp --destination-port 25 -j ACCEPT

# Activation de l'IP Forwarding

iptables -F FORWARD
iptables -A FORWARD -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.0/24 -j MASQUERADE

#--end

(mon linux étant la gateway: eth0 = net ; eth1 = lan ; lo = localhost)

Seulement j'ai un pb, tout marche a partir de mes PCs sur le lan (ping, net, icq, irc, ftp etc) vers le net. pas de pb
Mais je peux rien faire du linux meme (pas de ping vers le net, pas de surf, c'est comme s'il pouvait pas sortir sur le net), et ça m'ennuis.
(si je désactive le script iptable ça remarche évidament)

si kk1 voit..... merci à vous

axey

http://www.00f.net

Il n'y a pas besoin d'autoriser les connexions vers le port 20 pour le FTP.

matthias

axey a écrit :

Il n'y a pas besoin d'autoriser les connexions vers le port 20 pour le FTP.

je crois que si ds certains cas, y a pas une histoire de FTP actif/passif ?

axey

http://www.00f.net

matthias a écrit :

je crois que si ds certains cas, y a pas une histoire de FTP actif/passif ?

Si mais ca ne change rien au fait qu'il n'y aura jamais de connexion vers le port 20 d'un serveur.
Le port 20 est (quelque fois) utilise comme port source (du firewall vers un client), jamais dans l'autre sens.

asphro

axey a écrit :

ah oui tiens , j'avais vu la même chose une fois comme koi il fallait ouvrir ce fameux port ftp-data, mais la je viens de l'enlver et ca marche nickel, va falloir je revois mes sources ou j'avais mal lu !!

Tomate

heu il y a un gros trou de secu ds vos scripts : vous laissez TOUT sortir depuis votre lan, donc une backdoor aussi...

asphro

tomate77 a écrit :

heu il y a un gros trou de secu ds vos scripts : vous laissez TOUT sortir depuis votre lan, donc une backdoor aussi...

ben et alors dans des reseau locaux maison y a pas trop probléme !!

c'est sur que c'est derier temps on a vu des outils gnu comporté des backdoors comme tcpdump ou autres !!

m'enfin !!

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

faites peter vos conf de firewall !!!

Sujets relatifs
Serveur VPN Win2000 derrière un firewall IPTABLES	VNC & Fichiers de Conf
Aol numeris ss linux .. pas moyen ==> fichier Conf inside ! je renonce	Demande d'info sur la MandrakeSecurity Single Network Firewall 7.2
[firewall] analyse des reports de snort sur Mdk SNF	Enregistrer les logs d'un firewall ?
[FIREWALL] Quel port faut-il fermer, pour plus de sécurité ?	passer un firewall en ftp
C'est quoi deja la commande pour recharger un fichier de conf ?	IP masquerading indispensable pour firewall ?
Plus de sujets relatifs à : faites peter vos conf de firewall !!!

Page générée en 0.138 secondes