Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 20-05-2008 00:22:02

tuxoli-oli-43
Membre
Inscription : 19-05-2008

réglage iptable selon un tuto est bon ce tuto?

Bonjour @ toutes et tous

Voilà je vais mettre le lien et la partie que j'ai suivie pour régler iptables)

Si vous voulez bien me dire si c'est bon?? pour les tentative d"intrusion ou autre truc ce à quoi sert un pare feu

je demande selon car "iptables" est le pare feu par défaut de débian et depuis que j'ai changer de prise éthernet ça ne vas plus les interface graphique

Mais on m'a dit que iptables était très bien donc si les réglage sont bon ça marche pour moi
S'il faut en ajouter me dire

Voici le lien du réglagle de la config (que peut-etre vous pourriez mettre dans le wiki????)

lien tuto config/reglage iptable

moi j'ai suivie le premier post:

donc

Préambule :
En principe, le paquet 'iptables' est installé d'origine sous Debian mais si ce n'était pas le cas, rien de plus simple à faire :

apt-get install iptables
Dans ce 'tuto', la majeure partie des commandes se feront à partir de la console (petite télé noire qui sert, entre-autres, à entrer ces commandes).
Ces commandes seront entrées sous la forme :
login@nom_machine:~$ sudo la_commande_à_taper
mais par la suite, je n'écrirai que la commande proprement dite, il vous appartiendra donc de la faire précéder par 'sudo'.
Il est préférable d'utiliser 'sudo' plutôt que de taper en tant que 'root', pour des raisons de sécurité mais il est possible que certaines commandes ne soient pas prises en compte de cette façon. Il vous faudra alors taper en tant que 'root' ( su et mot de passe = # au lieu de $ )
Si vous n'avez pas installé 'sudo', faites une recherche sur le forum d'aide ou posez la question.

(1) Installation :

A l'origine, le pare-feu est installé mais il est ouvert à toutes les communications, c'est en quelque sorte, une 'passoire' et de ce fait, il ne rempli pas ses objectifs.
Dans un premier temps, il va nous falloir installer un 'script' qui sera le "donneur d'ordre"
Créez le fichier 'mon_parefeu' :
touch /etc/init.d/mon_parefeu
Rendez ce fichier (pour l'instant, vide) exécutable avec :
chmod +x /etc/init.d/mon_parefeu
Ouvrez kedit (ou tout autre traitement de texte) à partir de la console pour être 'root' :
kedit
Dans kedit, ouvrez le fichier /etc/init.d/mon_parefeu
Collez-y le code ci-dessous :

Code:
#!/bin/sh
# chargement/déchargement d'iptables

case "$1" in
'start')
/sbin/iptables-restore < /etc/config_parefeu
RETVAL=$?
;;
'stop')
/sbin/iptables-save > /etc/config_parefeu
RETVAL=$?
;;
'clean')
# clean le parefeu pendant que la machine tourne
# ça peut être une faille de sécurite si on l'exécute lors de l'extinction avant l'arrêt des interfaces
# pensez à refaire un start après sinon la sauvegarde se fera automatiquement à l'extinction
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
RETVAL=$?
;;
'restart')
$0 stop && $0 start
RETVAL=$?
;;
*)
echo "Usage: $0 { start | stop | restart | clean}"
RETVAL=1
;;
esac
exit $RETVAL


Sauvegardez et fermez kedit
Retournez à la console pour réinitialiser le pare-feu à blanc avec :
/etc/init.d/mon_parefeu clean

(2) Configuration :

Tapez les séquences suivantes (une ligne à la fois suivi de 'Entrée')

Pour un parefeu sans réseau :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT

+

Sauvegardez le pare-feu une première fois (simulation d'un signal d'arrêt) avec :
/etc/init.d/mon_parefeu stop
Activez 'mon_parefeu' pour les différents "runlevel" avec :
update-rc.d mon_parefeu defaults 19 21


si les réponses sont positive peut être serait bon que je le mettent dans ma signature?

Merci d'avance de vos réponse et

@ Bientôt

Oli


Débian - Testing  (avec Gnome ) + Windows Xp Sp2 sur petite partition
utilisateur Linux: 449469 /-/ ( http://counter.li.org/ )
@ Bientôt /-/ Oli

Hors ligne

#2 21-05-2008 00:30:03

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : réglage iptable selon un tuto est bon ce tuto?

Bonjour tuxoli-oli-43,

Pour être précis, iptables est un ensemble de commandes (comme on le voit dans la partie 2 du tuto) destinées à la configuration de Netfilter, le filtre de paquets du noyau Linux. Ce n'est donc pas spécifique à Debian.

Concernant le script, il a au moins le mérite de mentionner qu'il y a potentiellement un problème de sécurité dans le cas ou l'on oublierait de relancer un "start" suite à un "clean" et avant d'éteindre. Dans ce cas, la configuration (les lignes en "iptables bla-bla..." de la partie 2) sont perdues puisque le script enregistre la configuration courante lors du "stop" (à l'extinction). On peut d'ailleurs se poser la question de l'utilité de cet enregistrement répété, puisque la configuration est fixe (sauf à ajouter des lignes pendant le fonctionnement, mais on perd toujours l'ensemble de la config si on oublie le "start" après le "clean").

Si l'on veut utiliser la méthode avec iptables-save et iptables-restore, je ferais un iptables-save après la configuration initiale (la partie 2) et supprimerais la sauvegarde à l'extinction. Cela éviterai de perdre la config, mais ne permettrait pas en contrepartie de prendre en compte les modifs éventuellement apportés.
D'où ma préférence pour l'utilisation d'un script pour la config "clean" (on laisse tout passer) et un autre pour la configuration parefeu, lancé lors du "start".Chacun de ces scripts contiendrait alors les commandes iptables ad-hoc.


Concernant le parefeu lui-même, comme mentionné il est adapté à un poste isolé, pas à la protection et l'accès d'un lan ou au partage de connexion.

Le filtrage effectué par les règles mises en place (la partie 2 essentiellement) constitue une protection que je trouve "minimale" car on laisse sortir tout ce qui veut, aucun filtrage n'est fait sur ce qui est émis par l'hôte.
D'autre part, tel quel, il permet l'accès depuis l'extérieur aux ports 20, 21, 22, 80, 631 et 5222 de la machine, ce qui n'est pas forcément utile, ni désirable.

Hors ligne

#3 21-05-2008 15:04:27

tuxoli-oli-43
Membre
Inscription : 19-05-2008

Re : réglage iptable selon un tuto est bon ce tuto?

Bonjour et Merci tux12

en fait le tuto mais aussi les réglage pour les machine serveur

Voilà j'ai refait le réglage en enlevant les port

et lorsque je fait un : iptables -L --line-numbers

pour voir une règle de disponible il m'affiche:

Padme-Leia:/home/tuxoli-oli# iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  anywhere             anywhere           
2    DROP       icmp --  anywhere             anywhere           
3    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
Padme-Leia:/home/tuxoli-oli#


est-ce que c'est bon (vue que je suis pas très doué c'est ça que je demande

concernant les script je ne sais pas les faire (je ne suis guère doués vois tu :-/ )

aussi j'aimerai savoir si le parefeu se lance à chaque allumage de l'ordi ou si il faut le lance??

sinon voici ce  que j'ai mis:

Pour un parefeu sans réseau :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

&
Sauvegardez le pare-feu une première fois (simulation d'un signal d'arrêt) avec :
/etc/init.d/mon_parefeu stop
Activez 'mon_parefeu' pour les différents "runlevel" avec :
update-rc.d mon_parefeu defaults 19 21


Voilà est-ce bon?? (c'est que je suis pas doué que  je ne m'en tiens qu'a ce tuto :-/ j'aime Linux et Débian mais moi guère fort en réglage de quoi que ce soit (même en win d'ailleurs))

Merci d'avance

@ Bientôt
Oli
+++
:-)


Débian - Testing  (avec Gnome ) + Windows Xp Sp2 sur petite partition
utilisateur Linux: 449469 /-/ ( http://counter.li.org/ )
@ Bientôt /-/ Oli

Hors ligne

#4 25-05-2008 00:32:16

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : réglage iptable selon un tuto est bon ce tuto?

Bonjour tuxoli-oli-43,

Pour répondre à vos interrogations; la mise en place des règles de filtrage est normalement effectué par la ligne "update-rc.d .....". Un bon moyen de vérifier son fonctionnement consiste à redémarrer la machine et à s'assurer de la présence des règles avec "iptables -L -v".
Ensuite, vous pouvez vérifier votre parefeu en scannant votre machine depuis un des nombreux sites qui proposent ce service (par exemple Shields Up).

A mon avis, vouloir utiliser pour sécuriser un système une solution dont on ne maîtrise ni le script ni le contenu (les règles de filtrage) n'est pas une bonne idée. Comme souligné dans mon post précédent, le risque n'est pas nul de se retrouver un beau jour sans plus aucune règle de filtrage, ouvert aux quatres vents.

Je comprends que tout un chacun ne souhaite pas forcément avoir à rentrer dans le détail de la mise en place d'un parefeu. Mais pourquoi dans ce cas ne pas utiliser une solution existante, comme shorewall ou autres logiciels permettant de mettre en place des règles iptables sans mettre les mains dans le cambouis? Ça aurait à mon sens l'avantage d'être mieux conçu et plus souple d'emploi que la solution que vous envisagez (et pour laquelle je ne saurais vous dire que "c'est bon" pour les raisons exposées au paragraphe précédent).

Cordialement,

Dernière modification par tux12 (25-05-2008 00:32:54)

Hors ligne

#5 22-08-2008 10:50:34

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : réglage iptable selon un tuto est bon ce tuto?

Moi j'ai essayer de configurer correctement iptables mais j'ai tjs pas réussis. Est-ce que quelqu'un aurait des liens de Wiki ? (J'ai chercher ds la Doc Ubuntu mais je la trouve un peu incomplète.)

Hors ligne

#6 23-09-2008 00:31:43

tuxoli-oli-hobbit
Membre
Lieu : Namur en Belgique
Distrib. : Debian Testing
(G)UI : Gnome
Inscription : 24-07-2008

Re : réglage iptable selon un tuto est bon ce tuto?

ps avant changement de pseudo maintenant c'est " tuxoli-oli-hobbit "
message général pour tux12, mecanotox, et cobex4

donc:

pour tux12,

Bonjour et je suis vraiement désolé je ne pensais plus à ce sujet que j'avais poster , donc avec un fort fort rétard je te remercie pour ton aide précieuse

je regrette le retard (je vois que ton dernier post date de mai , donc je suis vraiement désolé de mon retard :-/ )

sinon j'ai réinstaller et maintenant j'utilise firestarter et plus les réglages

pour mecanotox,

peut être installer firestarter comme moi???

pour cobex4,

comme dit j'ai mis firestarter, en fait j'ai jamais eu de problème avec et il me semble bon

@ Bientôt +++ /-/ tuxoli smile
Utillisateur Linux: 475396 /-/ Machine Linux: 383508 /-/ http://counter.li.org/
Debian Testing avec Gnome

Hors ligne

#7 23-09-2008 01:27:14

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : réglage iptable selon un tuto est bon ce tuto?

Bonjour Tuxoli++ big_smile

Ya pas de souci, tu réponds quand/si tu veux. smile

Donc tu es prêt, on peut te h4x3r ? lol
Plus sérieusement, as tu testé ton parefeu? Parce que "je n'ai jamais eu de problèmes", ça me fait toujours penser à la blague du gars qui se jette du toit d'un immeuble: <<15e étage et tout va bien ...14e étage et tout va bien ... >> lol

Aucun de ces tests n'est complet, mais tu peux essayer ces scans en ligne:
http://secunia.com/vulnerability_scanning/
http://www.grc.com/x/ne.dll?rh1dkyd2 (le plus complet)
http://nsol.securitoo.com/saisie_ip.php
Le mieux étant de pouvoir scanner (nmap) depuis une machine située à l'extérieur de ton LAN.

@+

Hors ligne

#8 23-09-2008 04:40:58

tuxoli-oli-hobbit
Membre
Lieu : Namur en Belgique
Distrib. : Debian Testing
(G)UI : Gnome
Inscription : 24-07-2008

Re : réglage iptable selon un tuto est bon ce tuto?

smile Salux tux12 smile

merci bien pour ta réponse

il n'y a que le dernier lien qui à fonctionner

il à pu lire l'ip, mais les autre test était bon point de vue de de leurs scans à ce lien.

merci pour les liens smile

@ bientôt ++

tuxoli smile

Dernière modification par tuxoli-oli-hobbit (23-09-2008 04:41:25)


@ Bientôt +++ /-/ tuxoli smile
Utillisateur Linux: 475396 /-/ Machine Linux: 383508 /-/ http://counter.li.org/
Debian Testing avec Gnome

Hors ligne

#9 23-09-2008 14:22:49

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : réglage iptable selon un tuto est bon ce tuto?

J'ai fais le tests et il semblerais que tout soit bon (Alors que je n'ai rien touché a iptable et les paramètres sont ceux de l'installation.)

Hors ligne

Pied de page des forums