Reprise du message précédent :
Ben dans INPUT tu te sers plus de dport et dans OUTPUT tu te sers plus de sport
Dans FORWARD (mais toi tu n'utilises pas) tu utilises un peu des 2 selon ce que tu veux matcher

boff

Dans notre cas, je ne pense pas qu'on s'en serve, puisqu'on ne fait que répondre à des requêtes de clients (en INPUT), et que cela est géré par le statefull (donc pas besoin de règle en OUTPUT pour autoriser le trafic sur le port 80 par exemple) et les seuls protocoles où on peut se comporter comme un client utilisent manifestement des ports aléatoires en sortie.
 
Donc, ici pas de sport, et je dirais même plus avec le statefull, ça doit plus servir souvent.

Oué c'est vrai on se sert un peu des 2 en fait

J'utilisent principalement sport pour spécifier les ranges acceptables
 
du genre --sport 1025: pour spécifier un port source > 1024 (assez souvent utilisé)
ou si le protocole spécifie un range précis ou port précis je l'utilises.

En effet, je viens de lire ça dans les sources du noyau ( ip_conntrack_core.c ) ...
Un peu "léger", de prime abord, je dirai, tout ça ... enfin bon, y'a ptet une bonne raison, mais j'ai pas envie d'approfondir la reflexion ... ok pour le --syn

 
 Avais tu un doute sur mes dires poure aller taper dans le kernel    
 
Certes c'est excessivement léger pour du statefull je trouve aussi.

 
 
tous les protocoles que j'utilisent utilisent un port aléatoire >1024, tu penses que ce serait un plus de mettre --sport 1025: pour éviter qu'on essaie de se connecter en ssh sur un port privilégié par exemple?

c'est un petit plus qui est surtout utile en OUTPUT/FORWARD.
Je préfère être au plus près du protocole c'est tout.

allez hop, je mets ce petit plus
 
 
 
comprends pas pourquoi c'est surtout utile en OUTPUT/FORWARD.
Moi je le verrais plutôt en INPUT

Principe N°1 en sécurité des S.I. : être un brin paranoïaque  
 

Garfield

 
Daffy ?

je dirais même plus, être parano à fond, c'est mieux.
 
C'est pour ça que je proposerais de mettre le flag sport 1025: en entrée pour éviter qu'on puisse essayer d'attaquer un de mes services depuis un port privilégié. Même si aucun exploit existe, on ne sait jamais.
 
Et aussi en sortie pourquoi pas.

Oui enfin faut éviter les extrêmes aussi  

bah j'sais pas si c'est super extrême, rajouter ce flag ne mange pas de pain et ne nuit pas aux perfs.
 
pourquoi pas?

Je suis en train de tester le script en vrai, et il n'y a pour l'instant pas de gros problèmes.

y a t il des _petits_ problemes ?

euh, bah en fait si, il y en a un, je pensais avoir résolu le blème du filtrage par IP mais ça ne marche pas.
En gros c'est du tout ou rien, soit je mets -s 192.168.2.9 et là y'a rien qui passe, sois je mets -s 192.168.2.9/0 et là toutes les machines de mon réseau passent, snif.
 
NB : j'ai désactivé les règles pour le faux réseau local puisque je suis en reseau local

Au temps pour moi, j'ai déconné, j'ai pas autorisé l'adresse source mais celle de destination
 
ça marche
 
 
 
Au fait, on a pas clos le débat sur --sport 1025: en INPUT et en OUTPUT

hop je viens me greffer à ce topic puisque je suis en train de réaliser moi aussi un script iptables pour un serveur. Ce serveur est destiné à être placé chez des clients, et doit être particulièrement blindée (un vrai trou noir ). Il ne doit pas avoir le rôle de passerelle. Il héberge un serveur FTP ainsi qu'un serveur ssh.  
Il devra également être capable d'être client FTP (passif) et DNS. Pas de HTTP en vue.
De plus, le serveur doit proposer un partage d'imprimante pour le monde Windows par le biais de Samba.
 
 
Je dois contrôler absolument tous les flux, que cela soit en entrée ou en sortie. J'ai préféré ne pas faire une règle qui autorise tout en sortie si la connexion est établie... Ce n'est peut être pas forcement un bon choix.
 
Ce script est normalement destiné à être appelé lors du montage de l'interface eth0. Ainsi dans le fichier /etc/network/interfaces, j'ai rajouté la ligne  

 
A vos critiques
 

bah j'suis pas assez doué pour émettre des critiques, mais l'idée de l'appeller dans /etc/netcwork/interfaces est très bonne je trouve.
 
Tiens ça me fait penser que j'ai oublié de remettre les règles pour les port 0 scan.

Pourtant ton script est bien plus complexe que le mien. Il y a pas mal de choses que je ne comprends pas vraiment

Il a mis 4 pages pour le faire son script, lit les 4 pages tu comprendras mieux déjà.

le script a été crée au fur et à mesure avec l'aide de tout le monde, si tu lis les 5 pages, tu devrais comprendre à quoi servent les règles et pourquoi elles sont ici
 
Je n'y comprenais rien au début non plus, et pourtant maintenant c'est clair. Maintenant de là à te donner des conseils sans dire de connerie...

Je les ai lu attentivement avant de poster
 
Mais certains passages ne sont pas expliqués, par exemple

Ca par exemple je ne sais pas trop quel est l'utilité
 
De même, pour les flux DNS tu autorises aussi le protocole tcp, or il me semble que le dns ne s'appuis que sur udp non ?
 
Loin de moi l'idée de polluer ce topic, au contraire j'aimerai apporter ma pierre à l'édifice car il est très interessant et mérite d'être approfondi.

http://iptables-tutorial.frozentux [...] sysctl.txt
Pour le DNS en effet, pour ses usages l'UDP  suffit.

Ces lignes correspondent à diverses protection réseau disponibles au niveau du noyau (si j'ai bien compris).
 
Par exemple la plus connue "tcp_syncookies" protège ton système contre les syn packet flooding, un type d'attaque DoS qui balance plein de paquets syn (paquets tcp d'ouverture de connexion).
 
pour le DNS c'est à vérifier
 
 
Pas d'inquiétude tu ne pollue pas, si tu te poses la question d'autres le feront aussi
 
 
EDIt : au sujet des ces lignes bizarres, d'autres servent à désactiver certaines fonctions inutiles dans le cas d'un serveur, comme "send_redirects" qui ne sert que pour les routeurs.

L'UDP est en effet utilisé pour le DNS il suffit, mais on peut faire des requetes en TCP si on le souhaite et les transferts de zones se font en TCP aussi
 
 
Sinon les protections au niveau du noyau perso je me documenterai dessus car certaines peuvent servir (genre le echo broadcast)

 
Merci pour le lien c'est ce qu'il me manquait
 
Petite question par curiosité : dans quel cas DNS utilise le protocole udp ?
 
Edit: j'ai la réponse au dessus Donc ce n'est utilisé que pour les serveurs DNS finalement si j'ai bien compris.
 

 
Merci pour les précisions

 
 
merci pour ces précisions, Je@nb et merci à petoulachi d'avoir levé le lièvre, je vire le TCP pour les DNS.

j'ai donc vérifié toutes les lignes correspondant au protections réseau avec le lien de l0ky et tout à l'air OK pour un serveur.
 
Je rajoute le lien de l0ky en commentaire dans le script
Je vire le TCP pour les DNS.
 
 
et zouu!

j'aimerais maintenant rajouter le support du ntp en sortie, quelle protocole est utilisé, tcp, udp? les 2?
 
j'arrive pas à trouver une doc qui explique clairement les protocoles

de mémoire ntp (network time protocol) c'est en UDP

Une technique pour avoir des renseignement sur un service: filtre avec ethereal, il t'indiquera le protocole, le port source/destination utilisé et plein d'autre infos

En effet NTP s'appuis sur UDP, par le port 123.

désolé, j'étais un peu absent ces derniers temps...
 
Merci pour ces infos, j'ai updaté le script pour ajouter une règle pour le ntp.

 
Salut tout le monde,
 
Je n'arrive pas à comprendre les règles concernant les requêtes ICMP.
Je me plante peut être sur le fonctionnement d'iptables mais il me semble que tant qu'un paquet n'est pas matché par une règle il continue sa route et finit soit par tomber sur une règle qui le matche soit par tomber sous la loi des politiques par défaut.
Si un echo-request n'est pas matché par les 2 premières règles ICMP il continue sa route et finit par tomber sur une règle (La 7ème) qui accepte tout le trafic ICMP.
 
Je me plante complètement ou y'a un problème ?

Salut tout le monde.
J'ai suivi ce tuto, ainsi que 8 autres, et j'ai fait mon propre script, il fonctionne, sauf un petit Hic...
Mon linux est passerelle entre internet et le rezo local.
Le rezo local attrappe le net, mais le serveur est totalement incapable de faire un apt-get, un ping ou un wget.
Je ne vois pas de solution en gardant la regle par defaut OUTPUT sur DROP.
Si quelqu'un peut m'orienter...

Garde la policy de la chain OUTPUT sur DROP
et ajoute des regles ACCEPT dans cette chaine
(+ established et related dans input)

Merci, maintenant, le serveur sort sur le net.
Par contre suite à un nmap d'un pote, et à un test, impossible de se logguer en ssh alors qu'il est autorisé explicitement, idem pour vnc, et nmap dis que mon serveur est eteint.