Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2097 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  script iptables

 
 


Dernière réponse
Sujet : script iptables
chaica Taz: j'avais déjà repris mon script et constaté mes erreurs. J'ai ensuite opté pour la politique que tu décris, c'était le plus simple à gérer.
++

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
chaica Taz: j'avais déjà repris mon script et constaté mes erreurs. J'ai ensuite opté pour la politique que tu décris, c'était le plus simple à gérer.
++
Taz t'as inversé OUTPUT et INPUT (et sport / dport)
 
Moi je te conseille de faire simple.
 
tu bloques par défaut, sauf en sortie, où là tu laisses tout partir :
 
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
 
tu relaxes pour lo et tu laisses passer icmp :
 
iptables -A INPUT -i lo -j ACCEPT
 
iptables -A INPUT -p icmp -j ACCEPT
 
 
et tu laisses passer les flux entrants précédemment établis :
 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
 
pour ouvrir certains ports applicatifs :
 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
pour indiquer des plages de ports :
 
iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
 
 
voilà. simple et efficace
 
 
 
pour controller le tout, rapidement :
 
nmap -sS localhost
nmap -sS <ton_ip_eth0>
l0ky tu te fais bloquer c'est à dire ?
 
Sinon tu as bien loader les modules conntrack/ftp... toussa
chaica Bonjour,
 
J'accepterai volontiers de l'aide sur un script iptables. J'ai lu les howto  mais quelque chose doit m'échapper car je me fais bloquer. Ma machine est un serveur sur le net qui recoit tout le trafic par la carte eth0. Pas de forwarding.
 

Code :
  1. #!/bin/sh -e
  2. #Load needed modules
  3. modprobe ip_tables
  4. modprobe ip_conntrack_ftp
  6. iptables -F
  7. iptables -X
  8. iptables -Z
  10. #Drop everything on the 3 strings
  11. iptables -P INPUT DROP
  12. iptables -P OUTPUT DROP
  13. iptables -P FORWARD DROP
  15. #We accept everything on lo interface
  16. iptables -A INPUT  -i lo -j ACCEPT
  17. iptables -A OUTPUT -o lo -j ACCEPT
  19. #We accept FTP
  20. iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
  21. iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
  22. iptables -A INPUT -i eth0 -p tcp --sport 20 -j ACCEPT
  23. iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --stateESTABLISHED,RELATED -j ACCEPT
  25. #FTP Data
  26. iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  27. iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  29. #We accept SSH
  30. iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
  31. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
  33. #We accept NTP
  34. iptables -A INPUT -i eth0 -p tcp --sport 123 -j ACCEPT
  35. iptables -A INPUT -o eth0 -p tcp --dport 123 -j ACCEPT
  36. iptables -A INPUT -i eth0 -p udp --sport 123 -j ACCEPT
  37. iptables -A INPUT -o eth0 -p udp --dport 123 -j ACCEPT
  39. #We accept DNS
  40. iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
  41. iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)