Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-06-2020 14:24:30

JOAN42
Membre
Inscription : 15-06-2020

Regle iptables

Bonjour,

Je souhaiterais fermer tout les ports de ma vm et permettre seulement la connexion en ssh via le port 1042. Le script de mes regles iptables est le suivant:

#!/bin/sh
#
# test.sh

IPT="iptables"

# Réseau local
IFACE_LAN=enp0s8

# Remettre les compteurs à zéro
sudo $IPT -t filter -Z

# Supprimer toutes les règles actives et les chaînes personnalisées
sudo $IPT -t filter -F
sudo $IPT -t filter -X

# Politique par défaut
sudo $IPT -P INPUT DROP
sudo $IPT -P FORWARD DROP
sudo $IPT -P OUTPUT DROP

#Autoriser la connexion ssh sur port 1042
#sudo $IPT -A INPUT -p tcp -i $IFACE_LAN --dport 1042 -j ACCEPT
sudo $IPT -A INPUT -p  tcp --dport 1042 -j ACCEPT

sudo iptables-save

echo "Script OK"



Seulement une fois executer, je . n'arrive plus a me connecter en ssh. L'un de vous connait il une solution? smile

Hors ligne

#2 15-06-2020 14:56:15

Croutons
Membre
Distrib. : Debian10 Buster
Noyau : Linux 4.19.0-9-amd64
(G)UI : Mate
Inscription : 16-12-2016

Re : Regle iptables

hello
regarde la doc dans le wiki
j'ai vu un exemple de script vers la fin tu mets le chemin pour la commande parce qu'avec sudo cela doit pas fonctionner tellement je pense

/sbin/iptables


https://debian-facile.org/doc:reseau:ip … de-theorie
bon j'avoue avoir survollé le truc je me sert d'un firewall graphique
Vois aussi la méthode de sauvegarde des regles iptables avec la ligne a rajouté dans le fichier interfaces pour restoré le tout me parait sympa
https://debian-facile.org/doc:reseau:ip … ses-regles


-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<--
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

En ligne

#3 15-06-2020 15:06:57

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : Regle iptables

JOAN42 a écrit :

Seulement une fois executer, je . n'arrive plus a me connecter en ssh. L'un de vous connait il une solution?



Déjà il faudrait une règle qui autorise le traffic ssh à sortir… avec par exemple :


iptables -A OUPUT -p tcp --sport 1042 -j accept
 



D'autres part, il faudrait aussi autoriser quelques messages icmp, c'est mieux.
Les messages icmp suivant sont utiles : echo-request, echo-reply, destination-unreachable,
time-exceeded, parameter-problem, destination-unreachable. Surtout les trois derniers.

Dernière modification par enicar (15-06-2020 15:09:10)

Hors ligne

#4 15-06-2020 15:10:44

JOAN42
Membre
Inscription : 15-06-2020

Re : Regle iptables

Malheureusement ca ne change rien. Meme sans /sbin/, la commande s'execute quand meme. Puis jai mis mon script dans le crontab pour qu'il se lance a chaque demarrage. Je n'ai donc pas besoin de restore mes regles iptables.

Merci de ta reponse en tout cas.

Hors ligne

#5 15-06-2020 15:16:40

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : Regle iptables

JOAN42 a écrit :

Malheureusement ca ne change rien. Meme sans /sbin/, la commande s'execute quand meme.


Je n'ai pas compris de quoi tu parles. Le /sbin/ n'est utile que lorsque que /sbin/ n'est pas dans PATH. Pour le reste
ça ne change rien. Il faut autoriser les bons paquets à entrer et à sortir, c'est cela l'important.

Hors ligne

#6 16-06-2020 12:50:51

raleur
Membre
Inscription : 03-10-2014

Re : Regle iptables

JOAN42 a écrit :

Je souhaiterais fermer tout les ports de ma vm et permettre seulement la connexion en ssh via le port 1042


Iptables n'est pas fait pour cela. Il faut arrêter tous les services qui ouvrent des ports en écoute (sauf sshd) et configurer sshd pour écouter sur le port 1042.
Ou bien tu veux autre chose mais tu t'exprimes mal.


Il vaut mieux montrer que raconter.

Hors ligne

#7 22-08-2020 07:36:39

dexter74
Membre
Distrib. : Debian 10.5
Noyau : Linux
(G)UI : Nautilus, Nemo
Inscription : 11-05-2016

Re : Regle iptables

Bonjour,

sur Debian, il manque quelque paquet fort utiles pour permettre la persistance de la configuration.

Paquets:

 sudo apt install -y iptables-persistent



Tu exécutes ton script

sh /<chemin/monscript.sh



Tu vérifies

iptables -L -v



Persistance des règles

sudo dpkg-reconfigure iptables-persistent


La commande dpkg-reconfigure te permettra de rafraîchir la persistance en cas d'édition du script



Schéma

Modification du script  > Script OK >  Vérifier les règles actuellement appliquer > Utiliser la commande persistance >  Persistance éditer par rapport au règle en cours du pare-feu




Tu redémarres et tu vérifies et ce sera bon.

Dernière modification par dexter74 (22-08-2020 07:39:46)

Hors ligne

Pied de page des forums