[PROJET] "Serveur" sous Debian | Sueurs froides finies : )

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 3 4 5 6 7 8 Page Suivante Page Précédente Bas de page
Auteur	Sujet : [PROJET] "Serveur" sous Debian \| Sueurs froides finies : )

Klaimant

Reprise du message précédent :

HuGoBioS a écrit :

dns de free

en fait j'ai foutu mes regles dans un scrip d'init !

donc quand tu fait (che zmoi !) /etc/init.d/firewall
tu peu xpasser en aprametre start, stop, passoire, restart

ce que tu montre c juste une "entrée" correspondant au parametre passée !

et echo "DOne" c pour que je sache quand il a mis les regles en place !

Ok moi je connais les dns de wanadoo

le mode passoir tu ouvre tout c'est çà ?

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Publicité

HuGoBioS

Klaimant a écrit :

Ok moi je connais les dns de wanadoo

le mode passoir tu ouvre tout c'est çà ?

comme son nom l'indique ;-)

---------------
-= In Kik00 101 I trust :o =-

Klaimant

HuGoBioS a écrit :

comme son nom l'indique ;-)

ok mais je vois pas bien comment ton script lis les paramètres que tu lui passes :??:

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

GUG

salut j aurais aussi a faire des trucs dans le genre voir plus en seconde annee pourrais tu faire un recapitulatif des liens que tu as utilise stp ? (avec une petite note/apreciation ce serait vraiment tip top )
merci d avance

HuGoBioS

Klaimant a écrit :

ok mais je vois pas bien comment ton script lis les paramètres que tu lui passes :??:

c'est la comande case au debut qui fait ca !

---------------
-= In Kik00 101 I trust :o =-

Klaimant

GUG a écrit :

Si tu veux je te filerais le rapport

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

GUG

ce serait super sympas
:jap:

Klaimant

HuGoBioS a écrit :

c'est la comande case au debut qui fait ca !

ha la voila, j'avais vu le esac de fermeture mais pas le début

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

GUG a écrit :

ce serait super sympas
:jap:

Ben suis le topix ca sera fini d'ici 3 semaines quand je passerais a l'oral

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

:pfff: faut tout bien lire :whistle:
la reponse est souvent contenue dans le sujet ... [:xfalken]

---------------
-= In Kik00 101 I trust :o =-

Publicité

Klaimant

Code :

####################################
#On verifie la validité des paquets#
####################################
#iptables -N CHECK_VALID
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix '[IPTABLES X-max Packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL FIN,PSH,URG -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j LOG --log-prefix '[IPTABLES NULL scan packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL NONE -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j LOG --log-prefix '[IPTABLES Syn-Fin packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID --tcp-flags ALL SYN,FIN -j DROP
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j LOG --log-prefix '[IPTABLES ACK packet] '
#iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j LOG --log-prefix '[IPTABLES SYN packet] '
#iptables -A CHECK_VALID -p tcp -m state --state ESTABLISHED --syn -j REJECT
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j LOG --log-prefix '[IPTABLES FIN packet]'
#iptables -A CHECK_VALID -p tcp -m state --state NEW,INVALID,RELATED --tcp-flags ALL FIN -j REJECT
#iptables -A CHECK_VALID -i eth0 -m state --state INVALID -j LOG --log-prefix '[IPTABLES Paquet invalide] '
#iptables -A CHECK_VALID -i eth0 -m state --state INVALID -j DROP
#On se premunti contre les scans
#iptables -A CHECK_VALID -i eth0 -p tcp --syn -m limit --limit 10/m -j RETURN
#iptables -A CHECK_VALID -i eth0 -p tcp --syn -m limit --limit 1/m -j LOG --log-prefix '[IPTABLES syn flood] '
#iptables -A CHECK_VALID -i eth0 -p tcp --syn -j DROP
#on fait passer tous les paquets par la
#iptables -A INPUT -i eth0 -A CHECK_VALID
#iptables -A FORWARD -o eth1 -A CHECK_VALID

Toutes ces lignes en commentaire, elles devraient faire quoi ???

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

normalement ca verifie l'integrité des paquets !

en fait on cree une nouvelle regle
dans cette regle on check si les packets sont bons ou pas
si ils sont bons ils vont vers les autres regles
si ils sont aps bons ils sotn droppé ou jettés je sais plus

on fait passer tous les packets vers cette regle
mais y'a une erreure ca marche po et j'ai pas envie de me prendre la tte pr le faire marcher ! si tu trouve t le bienvenue !

---------------
-= In Kik00 101 I trust :o =-

Klaimant

HuGoBioS a écrit :

dacodac, je voulais faire ca : droper les paquets spoofé et d'autres choses comme ca

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

Klaimant a écrit :

dacodac, je voulais faire ca : droper les paquets spoofé et d'autres choses comme ca

béh je pens efaut t'orienter vers un truc comem ca !
je me demande si mon pb est pas au niveau des interfaces qd je fais passer les pasckets par le "filtre"

---------------
-= In Kik00 101 I trust :o =-

Klaimant

HuGoBioS a écrit :

béh je pens efaut t'orienter vers un truc comem ca !
je me demande si mon pb est pas au niveau des interfaces qd je fais passer les pasckets par le "filtre"

Ouais pour le spoof : http://lea-linux.org/reseau/iptables.php3

Code :

# Je veux pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

Code :

#! /bin/sh
=============================================================================================================================================
=============================================================================================================================================
=============================================================================================================================================
###########################
###########################
## ##
## START ##
## ##
###########################
###########################
case "$1" in
start)
echo -n "On met les regles en place : "
#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#On accepte toutes les connexions venant du reseau local
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
####################################
#On verifie la validité des paquets#
####################################
#on interdit le spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
#on autorise les connections etablies
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
#################################
#Ouverture des ports specifiques#
#################################
#on autorise le ping
iptables -A INPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
#acces aux serveurs web
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 80 -m state --state NEW -j ACCEPT
#acces aux serveurs https
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
#acces aux serveurs ftp
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#acces aux serveurs smtp
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
#acces aux serveurs pop3
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 110 -m state --state NEW -j ACCEPT
#acces aux serveurs ssh
#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#on autorise le dns sur la passerelle
iptables -A OUTPUT -o eth0 -p tcp -d 193.252.19.3-j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 193.252.19.3-j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 193.252.19.4 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 193.252.19.4 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 193.252.19.3-j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 193.252.19.3-j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 193.252.19.4 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 193.252.19.4 -j ACCEPT
adictrl -f
adictrl -d
echo "Done."
=============================================================================================================================================
=============================================================================================================================================
=============================================================================================================================================
##########################
##########################
## ##
## STOP ##
## ##
##########################
##########################
;;
stop)
echo -n "Purge des tables: "
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Done."
=============================================================================================================================================
=============================================================================================================================================
=============================================================================================================================================
#############################
#############################
## ##
## RESTART ##
## ##
#############################
#############################
;;
restart)
echo -n "On met les regles en place : "
#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#On accepte toutes les connexions venant du reseau local
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
####################################
#On verifie la validité des paquets#
####################################
#on interdit le spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
#on autorise les connections etablies
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
#################################
#Ouverture des ports specifiques#
#################################
#on autorise le ping
iptables -A INPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
#acces aux serveurs web
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 80 -m state --state NEW -j ACCEPT
#acces aux serveurs https
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW -j ACCEPT
#acces aux serveurs ftp
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#acces aux serveurs smtp
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
#acces aux serveurs pop3
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 110 -m state --state NEW -j ACCEPT
#acces aux serveurs ssh
#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
#on autorise le dns sur la passerelle
iptables -A OUTPUT -o eth0 -p tcp -d 193.252.19.3-j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 193.252.19.3-j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 193.252.19.4 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 193.252.19.4 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 193.252.19.3-j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 193.252.19.3-j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 193.252.19.4 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 193.252.19.4 -j ACCEPT
echo "Done."
=============================================================================================================================================
=============================================================================================================================================
=============================================================================================================================================
;;
*)
echo "Usage: /etc/init.d/firewall {start|restart|stop}"
exit 1
;;
esac
exit 0

J'arrive à çà ... Vous en pensé quoi :??:

:jap:

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

ton restart est pareil a ton start ... je me demande si tu peux pas simplement mettre

/tonscript stop
/tonscript start

dans la partie restart !

ca donen quoi quand tu tente de balancer cette regle chez toi ?

iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT

faire

iptables -N CHECK_VALID

pour creer la table avant !

Message édité par HuGoBioS le 27-02-2003 à 15:34:46

---------------
-= In Kik00 101 I trust :o =-

HuGoBioS

je crois que pour securiser plus on doit pouvori limiter les dns au port 53 ... mais suis aps sur

edit:j'ai modifié mon script pr que les dns ne marchent plsu que sur le port 53 comem ca si qqn spoofait un serveur dns bah il passerait pas chez moi nananananereuh

Message édité par HuGoBioS le 27-02-2003 à 15:41:05

---------------
-= In Kik00 101 I trust :o =-

Klaimant

HuGoBioS a écrit :

ton restart est pareil a ton start ... je me demande si tu peux pas simplement mettre

/tonscript stop
/tonscript start

dans la partie restart !

ca donen quoi quand tu tente de balancer cette regle chez toi ?

iptables -A CHECK_VALID -p tcp -m state --state NEW,RELATED ! --syn -j REJECT

faire

iptables -N CHECK_VALID

pour creer la table avant !

pas testé encore
je vais tester le fichier

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

Code :

Alcatraz:~# ./firewall_test.sh start
On met les regles en place : Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
./firewall_test.sh: adictrl: command not found
./firewall_test.sh: adictrl: command not found
Done.

et j'ai encore acces a aim et a irc

Message édité par Klaimant le 27-02-2003 à 15:48:06

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

c'est bizzare qu'il te jette accept !!! tu as bien les bonens optiosn dans le noyo ?

j'ai trouvé ca sur le net tu devrai essayer :
http://linuxserver.tkdack.com/module.php?mod=firewall

---------------
-= In Kik00 101 I trust :o =-

Klaimant

Merci

Code :

Alcatraz:~# modprobe --list | grep -E iptable
/lib/modules/2.4.18-bf2.4/kernel/net/ipv4/netfilter/iptable_filter.o
/lib/modules/2.4.18-bf2.4/kernel/net/ipv4/netfilter/iptable_mangle.o
/lib/modules/2.4.18-bf2.4/kernel/net/ipv4/netfilter/iptable_nat.o

j'ai bien les bons modules

Code :

Alcatraz:~# iptables --version
iptables v1.2.6a

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

HugoBios :

Code :

adictrl -f
adictrl -d

ca te sert a quoi ca car il reconnait pas ces commandes iptables

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

HuGoBioS

Klaimant a écrit :

HugoBios :

Code :

adictrl -f
adictrl -d

ca te sert a quoi ca car il reconnait pas ces commandes iptables

oupsss c pas iptables ca ;-)
c pr charge le firmware et le dspcode de mon modem adsl usb lol !

c'est du bidouillage a la porc, c'est ma specialité :sol:

j'ai mis a mon fichier de firewall

Message édité par HuGoBioS le 27-02-2003 à 16:30:44

---------------
-= In Kik00 101 I trust :o =-

Klaimant

ok je vire et je ressai

g trouvé mon erreur j'ai oublié de mettre des espaces dans la partie dns

Message édité par Klaimant le 27-02-2003 à 16:44:28

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

par contre aim et irc passe encore ... :??:

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

déjà, mon script paserelle, + simple mais qui explique comment faire le restart :
http://mjules.free.fr/script/passerelle

ensuite, tu as un paquets de trucs redondants dans ton script :

1)

#Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

3) pour ma part, j'éviterai de répondre au ping sur l'interface internet, c'est à dire que je définirai l'interface sur ta règle ICMP

#on autorise le ping
iptables -A INPUT -p icmp -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,RELATED -j ACCEPT

4) dans les sections ssh et pop3, tu as à chaque fois tes règles en double.

5)ton DNS est en local ? voilà une règle pour l'autoriser à faire des requêtes sans tout ouvrir (tu peux rajouter les IP des DNS ):

# Autorisation des requêtes DNS locales
iptables -A OUTPUT -o eth0 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

6) dans la section web, tu as aussi tes règles en double

Message édité par Mjules le 27-02-2003 à 17:18:25

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

c koi les trucs redondants que je suppr

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

Klaimant a écrit :

c koi les trucs redondants que je suppr

Je vais éditer mon post au fur et à mesure que je les trouve, je demande quand même vérification au cas ou je me plante

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

ok merci

Code :

Alcatraz:~# ./firewall_test.sh start
On met les regles en place : Done.
Alcatraz:~# nmap -sT 192.168.1.1
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on alcatraz.webgraph.fr (192.168.1.1):
(The 1537 ports scanned but not shown below are in state: closed)
Port State Service
9/tcp open discard
13/tcp open daytime
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
110/tcp open pop-3
111/tcp open sunrpc
113/tcp open auth
139/tcp open netbios-ssn
515/tcp open printer
717/tcp open unknown
901/tcp open samba-swat
1024/tcp open kdm
2049/tcp open nfs
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Message édité par Klaimant le 27-02-2003 à 17:02:52

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

Ok mais pk ca pas bon de mettre 1 fois un -i et apres un -o ???

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

c'est quoi la question ?

autrement, je te conseille cette page :
http://christian.caleca.free.fr/netfilter/iptables.htm

qui donne les règles pour la majorité des serveurs que tu as installés.

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

Mjules a écrit :

c'est quoi la question ?

autrement, je te conseille cette page :
http://christian.caleca.free.fr/netfilter/iptables.htm

qui donne les règles pour la majorité des serveurs que tu as installés.

Code :

#Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

pourquoi par exemple ca c movais et merci pour le lien c nickel

Message édité par Klaimant le 27-02-2003 à 17:19:21

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

ça revient au même. :??:

si c'est pour les règles en double, tu as une paire -i -o et la même paire juste en dessous pour POP3, SSh, WEB

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

Mjules a écrit :

ça revient au même. :??:

si c'est pour les règles en double, tu as une paire -i -o et la même paire juste en dessous pour POP3, SSh, WEB

Okok !!!

Merci le site est super bien expliqué.

[:spikler]

Message édité par Klaimant le 27-02-2003 à 17:27:37

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Klaimant

Code :

#! /bin/sh
#=============================================================================================================================================
#=============================================================================================================================================
#=============================================================================================================================================
###########################
###########################
## ##
## START ##
## ##
###########################
###########################
case "$1" in
start)
echo -n "On met les regles en place : "
#on purge les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#On jete les packets par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
#on autorise le traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#On accepte toutes les connexions venant du reseau local
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
#on met le nat et le masquerading en place
iptables -t nat -A POSTROUTING -s 192.168.1.69 -o eth0 -j MASQUERADE
#Toutes les connexions qui sortent du LAN vers le Net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
####################################
#On verifie la validité des paquets#
####################################
#on interdit le spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
#on autorise les connections etablies
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
#################################
#Ouverture des ports specifiques#
#################################
# Autorisation d'icmp pour les ping
iptables -A INPUT -p icmp -m state --state RELATED -j ACCEPT
# Acces à http
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -o eth0 -j ACCEPT
# Acces aux serveurs ftp
iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autorisation des envois SMTP locaux
iptables -A OUTPUT -o eth0 -p tcp --sport 1024: --dport 25 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 25 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
# Acces aux serveurs pop3
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 110 -m state --state NEW -j ACCEPT
# Accès SSH depuis le Net
#iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport ssh -o eth0 -j ACCEPT
# Autorisation des requêtes DNS locales
iptables -A OUTPUT -o eth0 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
echo "Done."
#=============================================================================================================================================
#=============================================================================================================================================
#=============================================================================================================================================
##########################
##########################
## ##
## STOP ##
## ##
##########################
##########################
;;
stop)
echo -n "Purge des tables: "
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Done."
#=============================================================================================================================================
#=============================================================================================================================================
#=============================================================================================================================================
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac
exit 0

J'arrive à çà, mais il me laisse toujours les mêmes ports ouverts :??:

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

tu le fais depuis où ton nmap ?

tu peux vérifier tes ports ouverts sur le net avec ce test :
http://scan.sygate.com/

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

Mjules a écrit :

tu le fais depuis où ton nmap ?

tu peux vérifier tes ports ouverts sur le net avec ce test :
http://scan.sygate.com/

en local le nmap, mais c'est pas trop le problème, j'ai une session aim de lancé est normalemnt ca devrait la coupé en mettant en place le firewall non :??:

Et je peux pas faire avec ton scaner car le modem est sur un autre PC :

Net----Modem----PCpasserelle-----MonServer------MonPC

Message édité par Klaimant le 27-02-2003 à 18:06:27

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

je sais pas pour AIM (il est sur ton PC ou sur le serveur ?)

sinon, si tu veux encore améliorer la sécu :
http://www.mandrakelinux.com/en/do [...] uide.html/

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Klaimant

Mjules a écrit :

je sais pas pour AIM (il est sur ton PC ou sur le serveur ?)

sinon, si tu veux encore améliorer la sécu :
http://www.mandrakelinux.com/en/do [...] uide.html/

Sur MonPC, est je n'ai pas autorisé le port dans le script donc je comprends pas :'(

Pour la secu je regarde a titre perso, moi je devais faire un server un poil sécurisé et un autre binome avait un projet de sécurité même. Mais je le garde ca m'interresse bcp ...

[:spikler]

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Mjules

Modérateur
Parle dans le vide

ben alors cherche pas, tu autorises quasiment tout en forward

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Publicité

Page : 1 2 3 4 5 6 7 8

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[PROJET] "Serveur" sous Debian | Sueurs froides finies : )

Sujets relatifs
cherche un site qui explique comment faire un serveur	[Debian] Redéfinir sa table de caractères
[debian] prob "bizar" adsl - Sivep bizar :( sorry	[Debian] comment faire pour résoudre ce problème d'apt-get
Pb de boot Debian sur SGI Indy (Minusplus viens :p) (cf. fin topic)	pb avec xawdecode sur debian sid
[Debian] Passer à Sid ?	[DEBIAN] questions sur kde
Serveur FreeRADIUS sous linux	gros pb avec console-data (debian testing)
Plus de sujets relatifs à : [PROJET] "Serveur" sous Debian \| Sueurs froides finies : )

Page générée en 0.184 secondes