[Topic unique] Regles iptables: Securiser un serveur

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : [Topic unique] Regles iptables: Securiser un serveur

trictrac

Reprise du message précédent :
Bnjour, ca a l'air interessant ton script, mais essaie de voir,sur base de ce qui se trouve plus ba, si tu as pas moyen d'en faire un pseudo démon ...
C'est pas bien compliqué, et c'est beaucoupplus propre ..

server:~# cat /etc/init.d/firewall
#!/bin/bash

#variables globales
NETWORK=192.168.0.0/24
IN_ADDR=192.168.0.1/24
IN_IFACE=eth1
OUT_IFACE=ppp0

# Remove all rules
function rules_clean() {
iptables -F
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

iptables -F in-if &> /dev/null
iptables -X in-if &> /dev/null
iptables -F out-if &> /dev/null
iptables -X out-if &> /dev/null
iptables -F in-out &> /dev/null
iptables -X in-out &> /dev/null
iptables -F out-in &> /dev/null
iptables -X out-in &> /dev/null
iptables -F icmp-chain &> /dev/null
iptables -X icmp-chain &> /dev/null
iptables -F log-and-drop &> /dev/null
iptables -X log-and-drop &> /dev/null
iptables -F log-and-accept &> /dev/null
iptables -X log-and-accept &> /dev/null
}

# Set filtering rules
function rules_set() {
# Set QoS and ToS rules

# Start masquerading
function start_masquerading {
iptables -A POSTROUTING -t nat -o ppp0 -s $NETWORK -j MASQUERADE
iptables -A POSTROUTING -t nat -o ppp0 -s $NETWORK2 -j MASQUERADE
# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
}

# Stop masquerading
function stop_masquerading {
# Turn off IP forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

# Remove Masquerade rules.
iptables -t nat -F
}

case "$1" in
start)
echo -n "Setting up firewall..."
rules_clean
rules_set
start_masquerading
echo " done."
;;

restart)
echo -n "Reloading firewall rules..."
stop_masquerading
rules_clean
rules_set
start_masquerading
echo " done."
;;

stop)
echo -n "Stopping firewall..."
stop_masquerading
rules_clean
echo " done."
;;

*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Message édité par trictrac le 22-01-2006 à 13:44:56

Publicité

anapivirtua

Boh.

Merci TricTrac, je vais voir ca
(La j'ai une nouvelle version sous la main... mais il s'emblerais qu'elle bug un peut sur mon serveur... donc je vais verifier ca...)

maalox

salut !
moi j'ai commenté tout se qu'il y a dans ftp, dans ssh et dans irc
j'ai également commenté le nat je m'en sert pas comme une passerelle ( c'est bien sa ? )
tout le reste a l'identique...

j'ai mon serveur a coté de moi derriére une livebox qui fait nat vers lui sur le port 80...

j'ai tout instalé comm dans le tuto de kapouik.

j'ai bon ? j'ai une bonne note ?

question béte...ou sont lés log ?

Tomate

/var/log

---------------
:: Light is Right ::

maalox

/var/log oui je suis béte...
kern.log?...j'ai quasi la méme chose dans messages...
plus sa vien moins je conprend :heink:
peut-on voir l'activité en direct ou est on obligé de passé par gedit ?

l0ky

tail -f /var/log/messages

Tomate

et pour savoir qu'est ce qui va dans quel fichier il faut regarder /etc/syslog.conf
ou /etc/syslog-ng.conf (mais pour toi ça m'étonnerait)

---------------
:: Light is Right ::

trictrac

Pour superviser l'activité de son firewall et aider sa mise en place, son debug, je cherche des beta-testeurs
Attention: projet en phase alpha ..

http://forum.hardware.fr/hardwaref [...] 6027-1.htm

maalox

resalut a tous ! j'ai encore un soucis :lol:

j'ai fait une install toute propre d'ubuntu sur mon serveur parce que:

1 j'avais mis un foin terrible :lol:
2 c'est basé sur debian et c'est la seul distrib que j'ai instalé assez longtemps pour avoir le temps de la comprendre un peu !
3 il y a un serveux x dés le démarrage sans rien avoir a faire ainsi que le nécessaire pour faire coser mon linux et mon windows ensemble
4 sur ce topic il a un script firewall pour mon serveur lamp et l'expliquation pour l'instaler

j'ai donc mon serveur LAMP qui fonctrionne

mais aprés avoir suivi scrupulesement le tuto de kapouik au post 3, pas de logs en faisant tail -f /var/log/messages enfin si j'ai des MARK...toutes les 20 minutes...

en regardant de plus prés je remarque la ligne :
# Eviter que les log ne s'affichent sur la console
echo "4 4 1 7"> /proc/sys/kernel/printk

donc je la commente en pensant que c'est sa mais toujours rien...donc j'ai encore besoin de vous :whistle:

je suis sur d'avoir des connexions a mon serveur vu qu'il héberge des photos mises en ""affichage immédiat"" sur des forum ( le [img] mon adresse/mon_image.jpg [/img] ) et des pages web ... mais aucun log...
vous pouvez d'ailleur voir mes cochons d'inde si vous avez envie !

je vous met le raccourci de mon fichier firewall au cas ou j'aurais fait une bétise en le commentant

http://perso.wanadoo.fr/xolaam/ForumHardware/firewall

je suis d'ailleur trés intéressé par le sujet de trictrac ci dessus et si je peux vous aider c'est avec plaisir

Ps: ce post concerne ce firewall je l'ai donc mis ici mais si c'est vous ( Anapivirtua surtout ) trouvé que c'est déplacé je l'enléveré bien évidemment et feré un autre post.

en tout cas merci d'avance !

Message édité par maalox le 29-03-2006 à 09:16:37

anapivirtua

Boh.

La fonction echo "4 4 1 7"> /proc/sys/kernel/printk sert juste a eviter l'ecriture des logs firewall directement dans la console (ce qui est tres tres tres genant...)...

Si j'ai bien compris, tu veux voir les logs de connexions...

tail -f /var/log/apache2/access.log

Voila pour apache 2

Message édité par anapivirtua le 19-03-2006 à 11:47:21

---------------
Si vis pacem, para bellum.

Publicité

anapivirtua

Boh.

Nouvelle version des regles, ajout de la fonction daemon (merci a tritrac pour son aide plus haut)
Fonction nat mis en commentaire...

Veuillez bien lire le script (les commentaires) si vous utilisez cette fonction...

---------------
Si vis pacem, para bellum.

maalox

merci Anapivirtua j'en déduis donc que s'il n'y a rien dans tail -f /var/log/messages pas de nouvelles, bonnes nouvelles.
oui merci pour tail -f /var/log/apache2/access.log pourtant c'était évident...
de toute façon , utilisant une livebox en nat sur le port 80 jusqu'au serveur c'est un peut normal ( c'est comme dans mon windows...jamais rien dans les logs de zonealarm...)

Citation :

La fonction echo "4 4 1 7"> /proc/sys/kernel/printk sert juste a eviter l'ecriture des logs firewall directement dans la console (ce qui est tres tres tres genant...)...

j'imagine que c'est surtout dans le cas ou le pc est relié avec un modem normal parce que moi j'ai rien méme en commenté...ou alor j'ai vraiment un probléme

merci !

anapivirtua

Boh.

Derien

---------------
Si vis pacem, para bellum.

anapivirtua

Boh.

Gros changement dans le script (qui vont etre appliques dans les jours qui viennent)
Il semblerais que ip conntrack ftp n'existe plus...
de plus, le log des paquets refuses fait planter le script:

$fw -A INPUT -p tcp -j LOG_DROP
$fw -A OUTPUT -p tcp -j LOG_DROP
$fw -A INPUT -p udp -j LOG_DROP
$fw -A OUTPUT -p udp -j LOG_DROP
$fw -A FORWARD -j LOG_FORWARD

a la recherche d'une solution...

Enfin, dernier points, et non des moindres, lorsque le demon demande le stop
Les regles total:

$fw -P INPUT DROP
$fw -P FORWARD DROP
$fw -P OUTPUT ACCEPT

Ne sont pas enlevees...

Le script sera donc edite dans les jours qui viennent (+ mise a jour du lien)

Message édité par anapivirtua le 21-06-2006 à 15:31:57

trictrac

ca ferait pas de mal, parce que je viens de le relire intégralement, et sur certains points, je me demande si tu sais exactement ce que fait chaque règle ...

anapivirtua

Boh.

Disons que par moment je me le demande aussi... genre tout les output qui servent a rien
Enfin, la je le retape

anapivirtua

Boh.

Voila, mis a jour...
Encore quelques trucs genants...
Ftp passif impossible pour l'instant (ip conntrack, where are you ?)
Probleme lors de l'arret du firewall...

Edit: probleme d'arret regle

Message édité par anapivirtua le 27-06-2006 à 11:00:54

---------------
Si vis pacem, para bellum.

trictrac

et les connections established que tu acceptes 100x. Tu peux les accepter une fois pour toutes.
Pis qd tu rejette telnet, rejette juste la connection, ca sert a quoi de faire les established ensuite. De meme, vu que tu es censé tout dropper, ca serta a quoi de dropper explicitement telnet ?? pour les compteurs ?
Et plein d'autre choses en fait

anapivirtua

Boh.

humm, pour le telnet je laisse comme c'est, j'ai une mauvaise experience...
Pour ce qui est des etablished, je scoot, j'ai pas fini

Message cité 1 fois
Message édité par anapivirtua le 16-03-2008 à 17:09:54

---------------
Si vis pacem, para bellum.

anapivirtua

Boh.

anapivirtua a écrit :

humm, pour le telnet je laisse comme c'est, j'ai une mauvaise experience...
Pour ce qui est des etablished, je scoot, j'ai pas fini

Par contre oui telnet saute tout court (j'y avais pas penser tien)

Message édité par anapivirtua le 16-03-2008 à 17:10:00

---------------
Si vis pacem, para bellum.

got

Bonjour j'au un souci avec un serveur FTP.

j'ai configurer des regles IPTABLES sur le serveur pour l'instant j'ai mis l'acces ssh ça marche mais le serveur FTP¨j'ai quelques problemes.

j'arrive à me connecter au port 21 sans soucis par contre j'ai mis un autre port pour ce FTP (par exemple 40000) je me connecte bien (apres avoir rajouter modprobe conntrack_ftp ports= 21, 40000) mais par contre des que je change le repertoire apr defaut mon client ftp balance au serveur un LIST-aL et là y a un timeout et deconnection ????

je comprend pas trop ce qui ce passe

Extraits de mes regles firewall :

Code :

modprobe ip_conntrack_ftp ports=21,40000
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 40000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 40000 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

Voila merci pour les pistes :-p

Message édité par got le 16-09-2006 à 12:05:41

joglle

Si vis pacem, para pacem ⭐⭐⭐⭐

pour avoir un [:drapal]

---------------
Qui suis-je???visuellement réponse ici ou là pour le reste god know that!!! but moi je cherche....

KoZo

PDG de Mentor

Il m'a l'air mort ce thread, dommage

---------------
"Jazz is not dead, it just smells funny" - Frank Zappa (1973)

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[Topic unique] Regles iptables: Securiser un serveur

Sujets relatifs
serveur cups probleme avec windows	pb nouveau serveur
[Résolu]Lancer un serveur de jeux en root par exemple, quels dangers ?	faire de mon ordinateur un serveur FTP
Probleme de lancement de serveur INN	backup incrémentale d'un serveur de fichier
Serveur dédié qui crash	pb virtualhost [serveur dédié]
Serveur de fichier partition ?	Distrib serveur genre SME mais plus souple ???
Plus de sujets relatifs à : [Topic unique] Regles iptables: Securiser un serveur

Page générée en 0.103 secondes