réglage iptable selon un tuto est bon ce tuto?

tuxoli-oli-43 · 19-05-2008 23:22:02

Bonjour @ toutes et tous

Voilà je vais mettre le lien et la partie que j'ai suivie pour régler iptables)

Si vous voulez bien me dire si c'est bon?? pour les tentative d"intrusion ou autre truc ce à quoi sert un pare feu

je demande selon car "iptables" est le pare feu par défaut de débian et depuis que j'ai changer de prise éthernet ça ne vas plus les interface graphique

Mais on m'a dit que iptables était très bien donc si les réglage sont bon ça marche pour moi
S'il faut en ajouter me dire

Voici le lien du réglagle de la config (que peut-etre vous pourriez mettre dans le wiki????)

lien tuto config/reglage iptable

moi j'ai suivie le premier post:

donc

Préambule :
En principe, le paquet 'iptables' est installé d'origine sous Debian mais si ce n'était pas le cas, rien de plus simple à faire :

apt-get install iptables
Dans ce 'tuto', la majeure partie des commandes se feront à partir de la console (petite télé noire qui sert, entre-autres, à entrer ces commandes).
Ces commandes seront entrées sous la forme :
login@nom_machine:~$ sudo la_commande_à_taper
mais par la suite, je n'écrirai que la commande proprement dite, il vous appartiendra donc de la faire précéder par 'sudo'.
Il est préférable d'utiliser 'sudo' plutôt que de taper en tant que 'root', pour des raisons de sécurité mais il est possible que certaines commandes ne soient pas prises en compte de cette façon. Il vous faudra alors taper en tant que 'root' ( su et mot de passe = # au lieu de $ )
Si vous n'avez pas installé 'sudo', faites une recherche sur le forum d'aide ou posez la question.

(1) Installation :

A l'origine, le pare-feu est installé mais il est ouvert à toutes les communications, c'est en quelque sorte, une 'passoire' et de ce fait, il ne rempli pas ses objectifs.
Dans un premier temps, il va nous falloir installer un 'script' qui sera le "donneur d'ordre"
Créez le fichier 'mon_parefeu' :
touch /etc/init.d/mon_parefeu
Rendez ce fichier (pour l'instant, vide) exécutable avec :
chmod +x /etc/init.d/mon_parefeu
Ouvrez kedit (ou tout autre traitement de texte) à partir de la console pour être 'root' :
kedit
Dans kedit, ouvrez le fichier /etc/init.d/mon_parefeu
Collez-y le code ci-dessous :

Code:
#!/bin/sh
# chargement/déchargement d'iptables

case "$1" in
'start')
/sbin/iptables-restore < /etc/config_parefeu
RETVAL=$?
;;
'stop')
/sbin/iptables-save > /etc/config_parefeu
RETVAL=$?
;;
'clean')
# clean le parefeu pendant que la machine tourne
# ça peut être une faille de sécurite si on l'exécute lors de l'extinction avant l'arrêt des interfaces
# pensez à refaire un start après sinon la sauvegarde se fera automatiquement à l'extinction
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
RETVAL=$?
;;
'restart')
$0 stop && $0 start
RETVAL=$?
;;
*)
echo "Usage: $0 { start | stop | restart | clean}"
RETVAL=1
;;
esac
exit $RETVAL

Sauvegardez et fermez kedit
Retournez à la console pour réinitialiser le pare-feu à blanc avec :
/etc/init.d/mon_parefeu clean

(2) Configuration :

Tapez les séquences suivantes (une ligne à la fois suivi de 'Entrée')

Pour un parefeu sans réseau :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT

+

Sauvegardez le pare-feu une première fois (simulation d'un signal d'arrêt) avec :
/etc/init.d/mon_parefeu stop
Activez 'mon_parefeu' pour les différents "runlevel" avec :
update-rc.d mon_parefeu defaults 19 21

si les réponses sont positive peut être serait bon que je le mettent dans ma signature?

Merci d'avance de vos réponse et

@ Bientôt

Oli

anonyme · 20-05-2008 23:30:03

Bonjour tuxoli-oli-43,

Pour être précis, iptables est un ensemble de commandes (comme on le voit dans la partie 2 du tuto) destinées à la configuration de Netfilter, le filtre de paquets du noyau Linux. Ce n'est donc pas spécifique à Debian.

Concernant le script, il a au moins le mérite de mentionner qu'il y a potentiellement un problème de sécurité dans le cas ou l'on oublierait de relancer un "start" suite à un "clean" et avant d'éteindre. Dans ce cas, la configuration (les lignes en "iptables bla-bla..." de la partie 2) sont perdues puisque le script enregistre la configuration courante lors du "stop" (à l'extinction). On peut d'ailleurs se poser la question de l'utilité de cet enregistrement répété, puisque la configuration est fixe (sauf à ajouter des lignes pendant le fonctionnement, mais on perd toujours l'ensemble de la config si on oublie le "start" après le "clean").

Si l'on veut utiliser la méthode avec iptables-save et iptables-restore, je ferais un iptables-save après la configuration initiale (la partie 2) et supprimerais la sauvegarde à l'extinction. Cela éviterai de perdre la config, mais ne permettrait pas en contrepartie de prendre en compte les modifs éventuellement apportés.
D'où ma préférence pour l'utilisation d'un script pour la config "clean" (on laisse tout passer) et un autre pour la configuration parefeu, lancé lors du "start".Chacun de ces scripts contiendrait alors les commandes iptables ad-hoc.

Concernant le parefeu lui-même, comme mentionné il est adapté à un poste isolé, pas à la protection et l'accès d'un lan ou au partage de connexion.

Le filtrage effectué par les règles mises en place (la partie 2 essentiellement) constitue une protection que je trouve "minimale" car on laisse sortir tout ce qui veut, aucun filtrage n'est fait sur ce qui est émis par l'hôte.
D'autre part, tel quel, il permet l'accès depuis l'extérieur aux ports 20, 21, 22, 80, 631 et 5222 de la machine, ce qui n'est pas forcément utile, ni désirable.

tuxoli-oli-43 · 21-05-2008 14:04:27

Bonjour et Merci tux12

en fait le tuto mais aussi les réglage pour les machine serveur

Voilà j'ai refait le réglage en enlevant les port

et lorsque je fait un : iptables -L --line-numbers

pour voir une règle de disponible il m'affiche:

Padme-Leia:/home/tuxoli-oli# iptables -L --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere
2 DROP icmp -- anywhere anywhere
3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Padme-Leia:/home/tuxoli-oli#

est-ce que c'est bon (vue que je suis pas très doué c'est ça que je demande

concernant les script je ne sais pas les faire (je ne suis guère doués vois tu :-/ )

aussi j'aimerai savoir si le parefeu se lance à chaque allumage de l'ordi ou si il faut le lance??

sinon voici ce que j'ai mis:

Pour un parefeu sans réseau :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

&
Sauvegardez le pare-feu une première fois (simulation d'un signal d'arrêt) avec :
/etc/init.d/mon_parefeu stop
Activez 'mon_parefeu' pour les différents "runlevel" avec :
update-rc.d mon_parefeu defaults 19 21

Voilà est-ce bon?? (c'est que je suis pas doué que je ne m'en tiens qu'a ce tuto :-/ j'aime Linux et Débian mais moi guère fort en réglage de quoi que ce soit (même en win d'ailleurs))

Merci d'avance

@ Bientôt
Oli
+++
:-)

anonyme · 24-05-2008 23:32:16

Bonjour tuxoli-oli-43,

Pour répondre à vos interrogations; la mise en place des règles de filtrage est normalement effectué par la ligne "update-rc.d .....". Un bon moyen de vérifier son fonctionnement consiste à redémarrer la machine et à s'assurer de la présence des règles avec "iptables -L -v".
Ensuite, vous pouvez vérifier votre parefeu en scannant votre machine depuis un des nombreux sites qui proposent ce service (par exemple Shields Up).

A mon avis, vouloir utiliser pour sécuriser un système une solution dont on ne maîtrise ni le script ni le contenu (les règles de filtrage) n'est pas une bonne idée. Comme souligné dans mon post précédent, le risque n'est pas nul de se retrouver un beau jour sans plus aucune règle de filtrage, ouvert aux quatres vents.

Je comprends que tout un chacun ne souhaite pas forcément avoir à rentrer dans le détail de la mise en place d'un parefeu. Mais pourquoi dans ce cas ne pas utiliser une solution existante, comme shorewall ou autres logiciels permettant de mettre en place des règles iptables sans mettre les mains dans le cambouis? Ça aurait à mon sens l'avantage d'être mieux conçu et plus souple d'emploi que la solution que vous envisagez (et pour laquelle je ne saurais vous dire que "c'est bon" pour les raisons exposées au paragraphe précédent).

Cordialement,

Dernière modification par anonyme (24-05-2008 23:32:54)

mecanotox · 22-08-2008 09:50:34

Moi j'ai essayer de configurer correctement iptables mais j'ai tjs pas réussis. Est-ce que quelqu'un aurait des liens de Wiki ? (J'ai chercher ds la Doc Ubuntu mais je la trouve un peu incomplète.)

tuxoli-oli-hobbit · 22-09-2008 23:31:43

ps avant changement de pseudo maintenant c'est " tuxoli-oli-hobbit "
message général pour tux12, mecanotox, et cobex4

donc:

pour tux12,

Bonjour et je suis vraiement désolé je ne pensais plus à ce sujet que j'avais poster , donc avec un fort fort rétard je te remercie pour ton aide précieuse

je regrette le retard (je vois que ton dernier post date de mai , donc je suis vraiement désolé de mon retard :-/ )

sinon j'ai réinstaller et maintenant j'utilise firestarter et plus les réglages

pour mecanotox,

peut être installer firestarter comme moi???

pour cobex4,

comme dit j'ai mis firestarter, en fait j'ai jamais eu de problème avec et il me semble bon

anonyme · 23-09-2008 00:27:14

Bonjour Tuxoli++

Ya pas de souci, tu réponds quand/si tu veux.

Donc tu es prêt, on peut te h4x3r ?

Plus sérieusement, as tu testé ton parefeu? Parce que "je n'ai jamais eu de problèmes", ça me fait toujours penser à la blague du gars qui se jette du toit d'un immeuble: <<15e étage et tout va bien ...14e étage et tout va bien ... >>

Aucun de ces tests n'est complet, mais tu peux essayer ces scans en ligne:
http://secunia.com/vulnerability_scanning/
http://www.grc.com/x/ne.dll?rh1dkyd2 (le plus complet)
http://nsol.securitoo.com/saisie_ip.php
Le mieux étant de pouvoir scanner (nmap) depuis une machine située à l'extérieur de ton LAN.

@+

tuxoli-oli-hobbit · 23-09-2008 03:40:58

Salux tux12

merci bien pour ta réponse

il n'y a que le dernier lien qui à fonctionner

il à pu lire l'ip, mais les autre test était bon point de vue de de leurs scans à ce lien.

merci pour les liens

@ bientôt ++

tuxoli

Dernière modification par tuxoli-oli-hobbit (23-09-2008 03:41:25)

mecanotox · 23-09-2008 13:22:49

J'ai fais le tests et il semblerais que tout soit bon (Alors que je n'ai rien touché a iptable et les paramètres sont ceux de l'installation.)

Debian-facile

#1 19-05-2008 23:22:02

réglage iptable selon un tuto est bon ce tuto?

#2 20-05-2008 23:30:03

Re : réglage iptable selon un tuto est bon ce tuto?

#3 21-05-2008 14:04:27

Re : réglage iptable selon un tuto est bon ce tuto?

#4 24-05-2008 23:32:16

Re : réglage iptable selon un tuto est bon ce tuto?

#5 22-08-2008 09:50:34

Re : réglage iptable selon un tuto est bon ce tuto?

#6 22-09-2008 23:31:43

Re : réglage iptable selon un tuto est bon ce tuto?

#7 23-09-2008 00:27:14

Re : réglage iptable selon un tuto est bon ce tuto?

#8 23-09-2008 03:40:58

Re : réglage iptable selon un tuto est bon ce tuto?

#9 23-09-2008 13:22:49

Re : réglage iptable selon un tuto est bon ce tuto?

Pied de page des forums