Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-12-2009 01:16:30

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Configuration Iptables [resolu]

Bonjour (ou plutôt bonsoir)

en cette fin d'année j'essaie de configurer de sécuriser un petit peu mon serveur au vu des nombreuses adresse présente dans les logs de Denyhosts

j'ai donc crée un script avec quelque iptables sachant que mon serveur remplis les fonctions de:
-serveur web
-serveur Samba

le problème c'est que je n'arrive pas a me connecter a mes pages web en local comme en distant

voici mon le résultat de "iptables -L"

Chain INPUT (policy DROP)
target     prot opt source               destination        
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh
ACCEPT     all  --  anywhere             anywhere            
fail2ban-apache  tcp  --  anywhere             anywhere            multiport dports www,https
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8443 state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:microsoft-ds
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:smtp state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            udp spt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere            udp spt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp spt:microsoft-ds
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp state NEW,RELATED,ESTABLISHED

Chain fail2ban-apache (1 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere


et mon script de démarrage

#!/bin/bash

# on supprime tous
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#on autorise le web
iptables -A OUTPUT -p tcp --dport 80   -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 80   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 443  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 8443  -m state --state ESTABLISHED,RELATED -j ACCEPT

#on autorise ssh
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A OUTPUTS -p tcp -o eth0  --sport 22 -j ACCEPT



#on autorise la boucle local
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# On permet toutes les connexions sur le LAN depuis le firewall
iptables -A INPUT -i  eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#on autorise les pings
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT


#on autorise samba
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT
iptables -A OUTPUT -p udp --sport 445 -j ACCEPT


#on autorise smtp pour denyhosts
iptables -A OUTPUT -p tcp --dport 25  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25  -m state --state ESTABLISHED,RELATED -j ACCEPT


je n'arrive pas à comprendre ce qui ne va pas, peux être fail2ban mais mon adresse local à partir de laquelle j'essaie d'accéder fait partie des IP toujours autorisées, Samba fonctionne très bien SSH aussi et quand j'ai de nouvelles adresses black-listées je reçois bien des mails


Merci, Bonne Nuit et le cas échéant bon noël

cordialement, Pollux

Dernière modification par Pollux (28-12-2009 22:52:04)

Hors ligne

#2 27-12-2009 19:09:13

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : Configuration Iptables [resolu]

personne ?

Hors ligne

#3 28-12-2009 22:51:47

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : Configuration Iptables [resolu]

Après maintes et maintes réflexion et cherchation (il ose ce barbarisme) de tuto sur internet

j'ai trouver ENFIN

il fallait mettre rajouter

iptables -A OUTPUT -p tcp --sport 80    -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443   -j ACCEPT
iptables -A INPUT  -p tcp --sport 80    -j ACCEPT
iptables -A INPUT  -p tcp --dport 443   -j ACCEPT
iptables -A INPUT -p tcp --sport 8443   -j ACCEPT


en gros toute mes regles avec le Xport inverse

Hors ligne

#4 29-12-2009 04:16:08

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Configuration Iptables [resolu]

Salut

Même si personne n'a pu te venir en aide sur ce coup-là merci quand même pris la peine d'indiquer comment tu as résolu ton problème. Qui sait, cela pourra peut-être servir à quelqu'un d'autre un jour. Pas toujours très facile ni très évidentes ces foutues règles iptables.

Martin

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#5 29-12-2009 06:54:53

Optimus07
Membre
Inscription : 29-12-2009

Re : Configuration Iptables [resolu]

Bonjour,

Je confirme, cela va servir je peux te le dire, j'ai des trucs à faire en iptable.
Merci BEAUCOUP de t'être donné la peine de partager ce que tu as trouvé.

Je suis novice sous Debian, et c'est avec ce genre de post que l'on évolue.
C'est Cool wink

Hors ligne

#6 29-12-2009 10:22:01

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : Configuration Iptables [resolu]

de rien, je vous aurez bien donné un liens le problème c'est que j'ai arpenté tellement de site que la y'en aurait pour des lignes, enfin, je sais qu'il existe un zolie generateur de script iptables (en français) quelque part sur le web, mais je l'ai perdu, comme quoi FF3 n'a pas tous résolu avec sa barre magique... si quelqu'un passe par là.

Hors ligne

#7 29-12-2009 10:33:41

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Configuration Iptables [resolu]

Pollux,

Il faut dire qu'avec un [résolu], tu as plus de posts qu'avec la question, hein !

Mouaaaaaaaaaaaah big_smile

A charge de revanche, sûr.

Amitié, Jojo

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

Pied de page des forums