Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2831 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

[Topic unique] Firewall Avec Iptables

n°682569
jlighty
Posté le 24-05-2005 à 19:05:11  profilanswer
 

Reprise du message précédent :
heu à quoi correspond SP$ ?
normalement il doit te retourner le numéro de port source et destination

mood
Publicité
Posté le 24-05-2005 à 19:05:11  profilanswer
 

n°682572
korben31
Posté le 24-05-2005 à 19:17:25  profilanswer
 

j'ai modifier dsl ^^ c'est parce que c'est dans la console

n°682576
jlighty
Posté le 24-05-2005 à 19:25:05  profilanswer
 

par contre je ne vois nulle part dans ton script la règle qui permet l'accès au DNS

n°682580
korben31
Posté le 24-05-2005 à 19:28:50  profilanswer
 

Code :
  1. ### Accepte dns depuis internet ###
  2. $IPT -A INPUT -p tcp --dport 53 -i $INTERNET -j ACCEPT
  3. $IPT -A OUTPUT -p tcp --sport 53 -o $INTERNET -j ACCEPT
  4. $IPT -A INPUT -p udp --dport 53 -i $INTERNET -j ACCEPT
  5. $IPT -A OUTPUT -p udp --sport 53 -o $INTERNET -j ACCEPT


 
ca suffi ca ?

n°682581
l0ky
Posté le 24-05-2005 à 19:29:36  profilanswer
 

Il ouvre tout en sortie à la base...

n°682582
l0ky
Posté le 24-05-2005 à 19:30:17  profilanswer
 

Là tu permets à des gars d'utiliser ton firewall comme serveur DNS...

n°682588
korben31
Posté le 24-05-2005 à 19:40:25  profilanswer
 

:d ca m'aide pas trop

n°682595
jlighty
Posté le 24-05-2005 à 19:43:57  profilanswer
 

en gros tes règles acceptent un paquet venant du net dont le port de destination est 53 (DNS)

Code :
  1. $IPT -A INPUT -p tcp --sport 53 -i $INTERNET -j ACCEPT
  2. $IPT -A OUTPUT -p tcp --dport 53 -o $INTERNET -j ACCEPT
  3. $IPT -A INPUT -p udp --sport 53 -i $INTERNET -j ACCEPT
  4. $IPT -A OUTPUT -p udp --dport 53 -o $INTERNET -j ACCEPT


là elles acceptent les paquets venant du net que si le port source est 53 (et inversement)
 
par contre je ne sais pas pourquoi il t'as droppé le paquet car :

Citation :


 ### Accepte les connection sortante ###
 $IPT -P OUTPUT ACCEPT


Message édité par jlighty le 24-05-2005 à 19:46:23
n°682601
korben31
Posté le 24-05-2005 à 19:49:46  profilanswer
 

bah oué jsutement moi non plus comprend pas tout :'(

n°682603
korben31
Posté le 24-05-2005 à 19:50:51  profilanswer
 

personne sais pq il me dit ca  
 
[root@Speed-ReZo] (~) #ping free.fr
ping: unknown host free.fr
 
C'est un peut bizar vu que c'est un paquet sortant normalement

mood
Publicité
Posté le 24-05-2005 à 19:50:51  profilanswer
 

n°682604
l0ky
Posté le 24-05-2005 à 19:54:26  profilanswer
 

Code :
  1. # Autorise tout le trafic appartenant à des connections existantes.
  2. # A mettre en début de scripts (en haut des chaines) pour de meilleurs perf.
  3. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  4. iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  5. iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  8. # Ouverture du port 53 en UDP pour requete DNS
  9. iptables -A OUTPUT -p udp -o $INTERNET --dport 53  -m state --state NEW -j ACCEPT
  10. iptables -A FORWARD -p udp -o $INTERNET--dport 53 -m state --state NEW -j ACCEPT
  13. # Apres tu mets des règles d'ouverture pour d'autres proto en dessous
  14. # ...
  15. iptables -A OUTPUT -p tcp -o $INTERNET --dport 80 -m state --state NEW -j ACCEPT
  16. iptables -A FORWARD -p tcp -o $INTERNET --dport 80 -m state --state NEW -j ACCEPT


 
Ensuite quand tu sauras utiliser correctement les flags TCP tu pourras renforcer les règles "NEW"


Message édité par l0ky le 25-05-2005 à 09:37:38
n°682829
korben31
Posté le 25-05-2005 à 09:32:56  profilanswer
 

Toujours pas
Mais je comprend pas dans mes log je n'ai que des drop aucun accept
et les ping ne marche toujours pas non plus

n°682834
l0ky
Posté le 25-05-2005 à 09:41:07  profilanswer
 

Ligne 22, tu t'es planté d'interface. La tu "MASQUERADE" les paquets sortant de ton interfaces $LOCAL. C'est l'interface $INTERNET qu'il faut utiliser.
 
Ensuite pour tes log, quand tu ACCEPT tes paquets tu fait -j ACCEPT. Si tu veux les logguer dans ton script, il faut les faire passer par ta chaine LOG_ACCEPT.

n°682841
korben31
Posté le 25-05-2005 à 09:58:07  profilanswer
 

ok

n°682850
korben31
Posté le 25-05-2005 à 10:09:26  profilanswer
 

dite  
# ### Log des paquet non traité ###
# $IPT -A FORWARD -j LOG_DROP
# $IPT -A INPUT -j LOG_DROP
# $IPT -A OUTPUT -j LOG_DROP
 
faut pas le remplacer par  
 
# ### Log des paquet non traité ###
# $IPT -A FORWARD -j LOG_DROP
# $IPT -A INPUT -j LOG_DROP
# $IPT -A OUTPUT -j LOG_ACCEPT  
??

n°683026
korben31
Posté le 25-05-2005 à 15:24:13  profilanswer
 

Je n'arrive toujours pas a mettre mes log dans un fichier particulier, j'ai esseyer de changer mon log lvl et du coup pu rien meme lorsque je l'es enlever :'(

n°723691
duch
Posté le 01-09-2005 à 10:38:32  profilanswer
 

il est mort ce topic ou bien?
 
ça m'interesse car je cherche un script pour sécuriser mon petit serveur web, vous en êtes où?

n°723697
l0ky
Posté le 01-09-2005 à 10:45:17  profilanswer
 

korben31 a écrit :

Je n'arrive toujours pas a mettre mes log dans un fichier particulier, j'ai esseyer de changer mon log lvl et du coup pu rien meme lorsque je l'es enlever :'(


Tu connais ulog ? c'est fait pour ca (entre autres)
[:spamafote]

n°735597
tuxbleu
renie ses origines
Posté le 29-09-2005 à 10:28:23  profilanswer
 

interessant ce topic, dommage qu'il soit laissé à l'abandon.

n°735618
TheManThat​GotAway
Ze man zat got awéééé(re)
Posté le 29-09-2005 à 12:48:58  profilanswer
 

Petite question qui me semble aller dans le sens du topic :
 
Une fois qu'on a établi ses règles, comment en tester l'efficacité ?
 
J'ai fait le fameux test 'Shields Up' de grc.com, j'ai fait un petit test avec nmap localhost...
Est-ce que c'est suffisamment fiable et détaillé ? Y-a-t-il plus intéressant, plus verbeux ?
 
Dites moi tout.

n°735651
jlighty
Posté le 29-09-2005 à 14:28:58  profilanswer
 

Oui c'est suffisant pour tester le firewall.

n°735679
TheManThat​GotAway
Ze man zat got awéééé(re)
Posté le 29-09-2005 à 15:58:13  profilanswer
 

Ok sinon j'ai de bons résultats avec le test grc, tout est en Stealth et le test est 'Passed !'.
 
J'utilise Quicktables (un truc pour fainéant qui configure iptables à partir de simples questions/réponses).
 
... Avec ce script-ci. Sauvez le dans votre répertoire /home en tant que rc.firewall. Puis (d'après le fichier install) :

 # cp rc.firewall /usr/local/sbin
 # chown root /usr/local/sbin/rc.firewall
 # chmod 744 /usr/local/sbin/rc.firewall
 
Finalement on rajoute le script dans /etc/rc.local pour qu'il s'execute au boot :
 
# echo "/usr/local/sbin/rc.firewall" >> /etc/rc.local
 
Pour appliquer les changements, taper :
 
# /usr/local/sbin/rc.firewall

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
Mes regles IPTABLES ne marchent pasConfiguration iptables pour un serveur FTP
cherche bon firewall[IPTABLES] Utiliser des adresses IP publiques sur un LAN (résolu)
[Firewall] de l'utilité de bloquer ses ports en sortieLog de Iptables
[Firewall] Que pensez vous de portsentry ?[IPTables] [Logs] [Firewall Snapgear SME550]Paquet Accepté ou Bloqué ?
Plus de sujets relatifs à : [Topic unique] Firewall Avec Iptables

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.078 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)