Bonjour (ou plutôt bonsoir)
en cette fin d'année j'essaie de configurer de sécuriser un petit peu mon serveur au vu des nombreuses adresse présente dans les logs de Denyhosts
j'ai donc crée un script avec quelque iptables sachant que mon serveur remplis les fonctions de:
-serveur web
-serveur Samba
le problème c'est que je n'arrive pas a me connecter a mes pages web en local comme en distant
voici mon le résultat de "iptables -L"
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
ACCEPT all -- anywhere anywhere
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
ACCEPT tcp -- anywhere anywhere tcp spt:www state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:https state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:8443 state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp spt:smtp state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp spt:netbios-ns
ACCEPT udp -- anywhere anywhere udp spt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp spt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp spt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW,RELATED,ESTABLISHED
Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
et mon script de démarrage
#!/bin/bash
# on supprime tous
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#on autorise le web
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -m state --state ESTABLISHED,RELATED -j ACCEPT
#on autorise ssh
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A OUTPUTS -p tcp -o eth0 --sport 22 -j ACCEPT
#on autorise la boucle local
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# On permet toutes les connexions sur le LAN depuis le firewall
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#on autorise les pings
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
#on autorise samba
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT
iptables -A OUTPUT -p udp --sport 445 -j ACCEPT
#on autorise smtp pour denyhosts
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
je n'arrive pas à comprendre ce qui ne va pas, peux être fail2ban mais mon adresse local à partir de laquelle j'essaie d'accéder fait partie des IP toujours autorisées, Samba fonctionne très bien SSH aussi et quand j'ai de nouvelles adresses black-listées je reçois bien des mails
Merci, Bonne Nuit et le cas échéant bon noël
cordialement, Pollux
Dernière modification par Pollux (28-12-2009 21:52:04)