Vous n'êtes pas identifié(e).
Pages : 1
Comme vous pouvez le voir, j'ai bloqué tout ce qui est "OUTPUT".
En fait quand je laisse le tout activé, impossible d'avoir accès à Internet.
Peut-être que je dois rajouter un élément dans ce que j'accepte ??
Merci !!
J'aimerai tellement me sentir en sécurité sans ces portes ouvertes
Dernière modification par empereur-x (09-07-2017 16:42:32)
Relax
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Dernière modification par empereur-x (23-06-2017 01:27:16)
Relax
Hors ligne
C'est bien d'autoriser les paquets entrants mais accepter les sortants est tout aussi important pour se connecter au port 80 des sites
Le deuxième # est en trop !
Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Dernière modification par empereur-x (23-06-2017 14:42:00)
Relax
Hors ligne
Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero
Hors ligne
Nous voyons que dans un premier temps je ne laisse rien passer. Je DROP FORWARD et INPUT.
Ensuite j'ACCEPT de les laissé passer que par certains ports bien précis, exemple pour le PING :
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
Mon problème est que ce model de par-feu ne fonctionne pas lorsque OUTPUT est en mode DROP et que par la suite je choisis les ports que la sortie peut utiliser.
Impossible donc avec ce model d'utiliser internet par la suite..
Le seul moyen que j'ai trouvé est de laissé OUTPUT sur sa valeur initial comme le dit raleur, donc en mode ACCEPT.
Il serait intéressant pour moi de pouvoir gérer les entrées mais aussi les sorties.
Relax
Hors ligne
(Ça doit être de ma faute)
Si tu le dis, qui suis-je pour te contredire et douter de ta clairvoyance ?
(si on ne peut plus persifler un peu...)
Voici comment j'aimerai que mon par-feu soit configuré.
Si je traduis bien ce script, la machine fait tourner des serveurs SSH, DNS, HTTP, (mais pas HTTPS), FTP (mais la règle ne suffit pas), SMTP, POP3, IMAP qui doivent être accessibles depuis l'extérieur. Depuis la machine on doit pouvoir se connecter à des serveurs SSH, DNS, HTTP, (mais pas HTTPS), FTP (mais la règle ne suffit pas), SMTP, POP3, IMAP, NTP.
Est-ce bien ce que tu veux ?
Par contre je ne vois pas à quoi servent les règles dans la chaîne FORWARD. Cette chaîne n'est utilisée que si la machine fait office de routeur, ce qui ne semble pas être le cas. Et tes règles sont trop incomplètes pour servir à quoi que ce soit. Par exemple en TCP elles n'autorisent que les paquets SYN (demande de connexion), et pas les suivants (acceptation, confirmation, envoi de données...).
Ensuite j'ACCEPT de les laissé passer que par certains ports bien précis, exemple pour le PING
Deux objections :
- Il n'y a pas de port pour le ping. Le protocole ICMP n'utilise pas la notion de port. Il utilise la notion de type et de code pour distinguer les différentes sortes de paquets ICMP.
- Tes règles acceptent tous les types de paquet ICMP, et pas seulement le ping. Pour n'accepter que les requêtes de ping, il faudrait spécifier le type echo-request.
ce model de par-feu ne fonctionne pas lorsque OUTPUT est en mode DROP
Comment le vérifies-tu ? Avec quels tests ?
Ne réponds pas "avec un navigateur", c'est le pire outil pour tester un pare-feu.
Il vaut mieux montrer que raconter.
Hors ligne
Relax
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Relax
Hors ligne
Pages : 1