Config / Règles de base

par **TaoPichu** » 04 Nov 2002 00:04

bonsoir, Voilà je cherche à savoir quels sont les principaux ports à bloquer sachant que le web chez moi se limite au surf et à l'envoi / reception de mail et un peu d'irc <IMG SRC="images/smiles/icon_smile.gif"> Peut on tout conf par l'interface graphique ou bien faut-il passer par une console... car ipchain pour moi c une chose étrange et je veux donc pas faire n'importe quoi... Quels sont les règles élémentaires à mettre pour avoir une sécu minimale ??

par **antolien** » 04 Nov 2002 00:26

La configuration de base de ce firewall bloque touts les ports de l'exterieur. Sauf que tout est autorisé à partir du coté vert de ton réseau. Donc toutes les connexions initiées par l'interieur de ton lan sont acceptées et toutes celles ayant comme provenance l'exterieur sont rejetées. C'est une configuration suffisante pour ce que tu fais et est censé te protéger correctement. Sinon pour une configuration plus pousséen il va falloir inévitablement passer par ipchains.

par **TaoPichu** » 04 Nov 2002 23:29

Oki merci <IMG SRC="images/smiles/icon_biggrin.gif"> Je pense que je vais donc devoir me pencher sur Ipchains prochainement car j'ai parfois des choses bizarres dans mes logs... <IMG SRC="images/smiles/icon_eek.gif"> notamment à destination de mon port UDP 137 (Netbios) et en HTTP 80 alors que ceux-ci je les ai pourtant fermé depuis l'inteface web... Le pire c que le lookup de la source ne donne rien donc cela me plait pas trop... L'IDS title pas mal aussi en ce moment... <IMG SRC="images/smiles/icon_mad.gif">

par **eol** » 05 Nov 2002 00:40

Il est possible que tu soit victime d'attaques aveugles. Rien d'alarmant en soit si toutes les connections en provenance de l'exterieure sont bloquees.... pour la petite histoire, j'ai suibis plus de 1500 attaque WEB Code Red et Web commande en 4 jours (detection par snort que je te conseil d'installer).... la routine quoi <IMG SRC="images/smiles/icon_smile.gif">

par **tetack** » 05 Nov 2002 10:41

si tu accepte toutes les connection provenant de ton lan par default surtout installe bien Snort ou aun autre detecteur d'intrusion car si t'est infecté par un vers ca risque de chauffer grave !! sinon met tes police de Firewall en DROP par default mais la il va te falloir reflechir un peu !! je peux te filer une copie de ce que j'ai dans mon firewall si tu veux voir ! ( policy : DROP FOR ALL ) bon courage

par **TaoPichu** » 06 Nov 2002 01:12

Déjà : euh ou trouver Snort ?? Ensuite, oui je veux bien voir tes règles, surtout si elles sont un tant soit peu commentées car j'y connais pas grand chose pour le moment aux règles de sécurité... mais je ne désespère pas d'apprendre... <IMG SRC="images/smiles/icon_biggrin.gif">

par **paradox** » 06 Nov 2002 10:23

Installer Snort ? Quel est celui par defaut ? Il ne suffit pas ?

par **tetack** » 06 Nov 2002 15:16

voila mes regles : a titre d'info : gun serveur Edonkey dans mon reseau privé, qui est aussi la machine ou je joue a warcraft. ma DMZ est située sur un autre reseau ( eth1) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> #!/bin/sh echo "" echo "* Demarrage/Arret du Firewall *" echo "" ######## Chemin vers Iptables IPT="/sbin/iptables" case "$1" in start) echo "Start Iptables rules ..." ######## Definition des interfaces # echo "Define interfaces ..." DMZ_IF="eth1" DMZ_AD="192.168.10.100" BAD_IF="ppp0" BAD_AD="0.0.0.0/4" PRV_IF="eth0" PRV_AD="192.168.0.0/24" SRV_EXT="192.168.10.1" SRV_DONKEY="192.168.0.1" LO_IF="lo" LO_AD="127.0.0.1" ######## Vidage des chaines # echo "Flush tables ..." $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT $IPT -t mangle -P PREROUTING ACCEPT $IPT -t mangle -P OUTPUT ACCEPT # echo "Flush all rules and chains ..." $IPT -F $IPT -X $IPT -t nat -F $IPT -t nat -X $IPT -t mangle -F $IPT -t mangle -X ######## Affectation des regles par defaut (DROP) # echo "Set Policies ..." $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP ######## Creation de chaines personnelles # Une chaine par direction # bad = ppp0 pour l acces internet # dmz = eth0 pour l acces au reseau local # echo "Create non-default chains ..." $IPT -N commun $IPT -N bad-dmz $IPT -N prv-dmz $IPT -N dmz-bad $IPT -N prv-bad $IPT -N bad-prv $IPT -N dmz-prv $IPT -N icmp-acc $IPT -N log-n-drop $IPT -F commun $IPT -F bad-dmz $IPT -F prv-dmz $IPT -F dmz-bad $IPT -F prv-bad $IPT -F bad-prv $IPT -F dmz-prv $IPT -F icmp-acc $IPT -F log-n-drop ######## Chaine speciale pour logguer les paquets # echo "Create log chains ..." # # $IPT -A log-n-drop -m limit --limit 5/m -j LOG --log-prefix "IPT DROP : " $IPT -A log-n-drop -j DROP ######## Definition des regles echo "Define rules ..." ######## Elimination des paquets de demande de connection n ayant pas le flag SYN active # echo "Define protection rules ..." $IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP ######## Elimination des paquets avec aucun ou tous les flags TCP actives # (Protection contre les tests de port furtif) $IPT -A FORWARD -p tcp --tcp-flag ALL ALL -j DROP $IPT -A FORWARD -p tcp --tcp-flag ALL NONE -j DROP $IPT -A INPUT -p tcp --tcp-flag ALL ALL -j DROP $IPT -A INPUT -p tcp --tcp-flag ALL NONE -j DROP ######## Protection syn-flood $IPT -A FORWARD -p tcp --syn -m limit --limit 5/m -j ACCEPT $IPT -A INPUT -p tcp --syn -m limit --limit 5/m -j ACCEPT ######## Activation du masquerading # echo "Define MASQUERADE rules ..." $IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE ######## Redirection des connexions destinees au serveurs HTTP et FTP # echo "Define PREROUTING rules ..." $IPT -t nat -A PREROUTING -p tcp --dport 80 -i $BAD_IF -j DNAT --to $SRV_EXT:80 $IPT -t nat -A PREROUTING -p tcp --dport 20 -i $BAD_IF -j DNAT --to $SRV_EXT:20 $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $BAD_IF -j DNAT --to $SRV_EXT:21 $IPT -t nat -A PREROUTING -p tcp --dport 4661 -i $BAD_IF -j DNAT --to $SRV_DONKEY:4661 $IPT -t nat -A PREROUTING -p tcp --dport 4662 -i $BAD_IF -j DNAT --to $SRV_DONKEY:4662 $IPT -t nat -A PREROUTING -p udp --dport 4665 -i $BAD_IF -j DNAT --to $SRV_DONKEY:4665 ###### Warcraft 3 ! $IPT -t nat -A PREROUTING -p tcp --dport 6111 -i $BAD_IF -j DNAT --to $SRV_DONKEY:6111 $IPT -t nat -A PREROUTING -p tcp --dport 6112 -i $BAD_IF -j DNAT --to $SRV_DONKEY:6112 $IPT -t nat -A PREROUTING -p udp --dport 6112 -i $BAD_IF -j DNAT --to $SRV_DONKEY:6112 $IPT -t nat -A PREROUTING -p udp --dport 6111 -i $BAD_IF -j DNAT --to $SRV_DONKEY:6111 ######## Blocage des paquets avec classes d adresses reservees ainsi que le multicast # echo "Define FORWARD rules ..." $IPT -A FORWARD -i $BAD_IF -s 224.0.0.0/4 -j DROP $IPT -A FORWARD -i $BAD_IF -s 192.168.0.0/16 -j DROP $IPT -A FORWARD -i $BAD_IF -s 10.0.0.0/8 -j DROP $IPT -A FORWARD -i $PRV_IF ! -s $PRV_AD -j DROP $IPT -A FORWARD -i $DMZ_IF ! -s $DMZ_AD -j DROP ######## On accepte les connexions deja etablies on log et drop les invalides # echo "Define STATE rules ..." $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A FORWARD -m state --state INVALID -j DROP $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A INPUT -p tcp -j DROP ######## Transmission a la chaine correspondant au sens d arrivee des paquets # En provenance de la DMZ vers internet $IPT -A FORWARD -s $DMZ_AD -i $DMZ_IF -o $BAD_IF -j dmz-bad # En provenance du reseau local vers internet $IPT -A FORWARD -s $PRV_AD -i $PRV_IF -o $BAD_IF -j prv-bad # En provenance d internet vers le reseau local $IPT -A FORWARD -i $BAD_IF -o $PRV_IF -j bad-prv # En provenance de la DMZ vers le reseau local $IPT -A FORWARD -s $DMZ_AD -i $DMZ_IF -o $PRV_IF -j dmz-prv # En provenance d internet vers la DMZ $IPT -A FORWARD -i $BAD_IF -o $DMZ_IF -j bad-dmz # En provenance du reseau local vers la DMZ $IPT -A FORWARD -s $PRV_AD -i $PRV_IF -o $DMZ_IF -j prv-dmz # On log et drop le reste # $IPT -A FORWARD -j log-n-drop $IPT -A FORWARD -j DROP ######## On log et accepte les requetes ICMP # echo "Define ICMP rules ..." # $IPT -A icmp-acc -p icmp --icmp-type echo-request -m limit --limit 5/m -j LOG --log-prefix "IPT ICMP : " $IPT -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT $IPT -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT $IPT -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT $IPT -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT # $IPT -A icmp-acc -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT # $IPT -A icmp-acc -p icmp --icmp-type echo-reply -m limit --limit 20/m -j ACCEPT ######## On drop et log le reste # $IPT -A icmp-acc -j log-n-drop $IPT -A icmp-acc -j DROP ######## Chaine commun # On accepte les services mail, DNS, HTTP(S), SSH et FTP # echo "Define commun rules ..." $IPT -A commun -p tcp --dport smtp -j ACCEPT $IPT -A commun -p tcp --dport domain -j ACCEPT $IPT -A commun -p udp --dport domain -j ACCEPT $IPT -A commun -p tcp --dport www -j ACCEPT $IPT -A commun -p tcp --dport https -j ACCEPT $IPT -A commun -p tcp --dport 20:21 -j ACCEPT $IPT -A commun -p tcp --dport ssh -j ACCEPT $IPT -A commun -p icmp -j icmp-acc ######## Chaine BAD --> DMZ # On accepte les services commun # echo "Define BAD --> DMZ rules ..." $IPT -A bad-dmz -j commun $IPT -A bad-dmz -j log-n-drop ######## Chaine DMZ --> BAD # On accepte les services commun # echo "Define DMZ --> BAD rules ..." $IPT -A dmz-bad -j commun $IPT -A dmz-bad -j log-n-drop ######## Chaine DMZ --> PRV # On accepte les services commun # echo "Define DMZ --> PRV rules ..." $IPT -A dmz-prv -j commun $IPT -A dmz-prv -j log-n-drop ######## Chaine PRV --> DMZ # On accepte les services commun # echo "Define DMZ --> PRV rules ..." $IPT -A prv-dmz -j commun $IPT -A prv-dmz -j log-n-drop ######## Chaine DMZ --> PRV # On accepte les services commun # echo "Define BAD --> PRV rules ..." $IPT -A bad-prv -j commun $IPT -A bad-prv -m multiport -p tcp --dport 4661,4662 -j ACCEPT $IPT -A bad-prv -p udp --dport 4665 -j ACCEPT ###### warcraft 3 $IPT -A bad-prv -m multiport -p tcp --dport 6111,6112 -j ACCEPT $IPT -A bad-prv -m multiport -p udp --dport 6111,6112 -j ACCEPT $IPT -A bad-prv -j log-n-drop ######## Chaine PRV --> BAD # On accepte en plus le donkey # echo "Define PRV --> BAD rules ..." $IPT -A prv-bad -j commun $IPT -A prv-bad -m multiport -p tcp --sport 4661,4662 -j ACCEPT $IPT -A prv-bad -p udp --sport 4665 -j ACCEPT ###### warcraft 3 $IPT -A prv-bad -m multiport -p tcp --dport 6111,6112 -j ACCEPT $IPT -A prv-bad -m multiport -p udp --dport 6111,6112 -j ACCEPT # $IPT -A prv-bad -j log-n-drop $IPT -A prv-bad -j DROP ######## Chaine pour la passerelle elle meme $IPT -N bad-if $IPT -N dmz-if $IPT -N prv-if ######## Chaine INPUT # echo "Define INPUT rules ..." $IPT -A INPUT -i $BAD_IF -j bad-if $IPT -A INPUT -i $DMZ_IF -j dmz-if $IPT -A INPUT -i $PRV_IF -j prv-if #$IPT -A INPUT -p ALL -i $LO_IF -j commun ######## Chaine OUTPUT # echo "Define OUTPUT rules ..." $IPT -A OUTPUT -m state -p icmp --state INVALID -j log-n-drop $IPT -A OUTPUT -o $BAD_IF -j bad-if $IPT -A OUTPUT -o $DMZ_IF -j dmz-if $IPT -A OUTPUT -o $PRV_IF -j prv-if #$IPT -A OUTPUT -p ALL -o $LO_IF -j commun ######## Interface interne DMZ # echo "Define DMZ interface rules ..." $IPT -A dmz-if -p icmp -j icmp-acc $IPT -A dmz-if -p ALL -j ACCEPT ######## Interface externe Internet # On accepte que les pings et SSH # echo "Define BAD interface rules ..." $IPT -A bad-if -p icmp -j icmp-acc $IPT -A bad-if -p tcp --dport domain -j ACCEPT $IPT -A bad-if -p udp --dport domain -j ACCEPT $IPT -A bad-if -p tcp --dport www -j ACCEPT $IPT -A bad-if -p tcp --dport https -j ACCEPT $IPT -A bad-if -p tcp --dport 20:21 -j ACCEPT $IPT -A bad-if -j log-n-drop ######## Interface intrne Reseau local # On accepte que les pings et SSH # echo "Define BAD interface rules ..." $IPT -A prv-if -p icmp -j icmp-acc $IPT -A prv-if -p tcp --dport ssh -j ACCEPT $IPT -A prv-if -p tcp --sport ssh -j ACCEPT $IPT -A prv-if -p udp --dport 136:138 -j DROP # laisser temps que passerelle = pc de greg $IPT -A prv-if -p tcp --dport domain -j ACCEPT $IPT -A prv-if -p udp --dport domain -j ACCEPT $IPT -A prv-if -p tcp --dport www -j ACCEPT $IPT -A prv-if -p tcp --dport https -j ACCEPT $IPT -A prv-if -p tcp --dport 20:21 -j ACCEPT ######### $IPT -A prv-if -j log-n-drop ######## Activation du forwarding de la passerelle # echo "Forwarding activation ..." echo 1 > /proc/sys/net/ipv4/ip_forward echo "Start Iptables rules OK ..." ;; stop) # echo "Stop Iptables rules ..." echo "Delete tables rules ..." #$IPT -F mangle #$IPT -F mangle #$IPT -F nat #$IPT -F nat #$IPT -F INPUT #$IPT -F OUTPUT #$IPT -F FORWARD $IPT -F $IPT -X # On ferme toutes les connections echo "Close connexions ..." $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # Suppression des variables # echo "Delete variables ..." DMZ_IF="" DMZ_AD="" BAD_IF="" BAD_AD="" PRV_IF="" PRV_AD="" SRV_EXT="" SRV_DONKEY="" LO_IF="" LO_AD="" echo "Stop Iptables rules OK ..." ;; *) # Pour tous les autres cas # on rappelle la syntaxe du script et on quitte echo -n "Usage : $(basename $0) start|stop (start for restart) ..." echo "" exit 1 esac # #--- end of filenk </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> reste si tu regarde : une petite erreur de logique et une petite erreur de securité et quelques repetitions.... sinon je pense que c'est assez comenté ! bon courage !

par **ONC** » 07 Nov 2002 17:51

Snort est préinstallé avec IPCop, il te suffit juste de l'activer en cochant la case "snort" dans "IDS" <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2002-11-06 00:12, TaoPichu a écrit: Déjà : euh ou trouver Snort ?? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **tomtom** » 07 Nov 2002 20:09

Cf message dans un autre post, tes règles ne fonctionnent surement pas sur IPCop ! IPCop est basé sur un noyau 2.2, donc utilise ipchains et non iptables. Et SVP ne vous contentez pas de changer les iptables en ipchains en conservant les règles, ces deux softs ne sont pas compatibles !

par **antolien** » 07 Nov 2002 20:13

oui tout à fait, notemment pour les DROP, REJECT, etc... mais le principe est apparement le même

par **tomtom** » 07 Nov 2002 21:03

Le principe ressemble amis n'est aps exactement identique.... Sous IPCHAINS, tous le spaquets arrivant sur la machine traversent les chaines input, output et forward Sous IPTABLES, seuls le spaquets destinés à (ou émanant) des process locaux traversent les chaines Input et Output, alors que seuls les paquets destines à d'autres machines traversent la table Forward Cette différence rend les règles de ipchains délicates à traduire sous iptables et reciproquement. De plus, IPTABLES est un filtre dit "statefull", c'est à dire qu'il contrôle chaque paquet à la volée, permettant notemment de "bricoler" les paquets au passage (c'est le but de la table Mangle, peu utilisée pour des usages courants masi nécessaire si on pousse un peu plus) Cordialement, Thomas

par **tetack** » 07 Nov 2002 23:02

effe ctivement c pas mes regles sous ipcop mais sous ma passerelle linux - debian !! desole ! <IMG SRC="images/smiles/icon_rolleyes.gif">

par **tomtom** » 08 Nov 2002 10:50

Pas de mal j'ai exactement la même chose <IMG SRC="images/smiles/icon_wink.gif"> Mais il ne faut pas induire en erreur ceux qui utilisent ipcop <IMG SRC="images/smiles/icon_razz.gif"> Thomas

par **Yata** » 08 Nov 2002 12:43

salut, j'avais cru comprendre que la future version d'IPCOP utilisait iptables. (v0.2) Est ce vrai ou non ? <IMG SRC="images/smiles/icon_confused.gif"> Car dans ce cas, on peut se garder les regles de Tetack sous le coude. vu que la sortie est prevu incesamant sous peu <IMG SRC="images/smiles/icon_rolleyes.gif"> Isn't it ???

Config / Règles de base

Qui est en ligne ?