configurer le rc.firewall

[Barroudeur 13]

Voila la config que g faite :

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP

de maniére a ouvrir les ports tcp 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 et les ports udp 3187,10428 et bloqué TOUT le reste...
Or, apparement tout les autres ports sont bien bloqué mais un logiciel de p2p (je sais c po bien ) n'arrive pas a ce connecté avec tcp 4664 et udp 3187 qui sont sensé etre ouvert...
Pourriez vous me dire pourquoi?

[Barroudeur 13]

Bon je reprend ma question :

A quoi sert les lignes suivantes?

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT

Pour ouvrir des ports tcp :

/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,20 -j ACCEPT ???

Que veut dire cette commande?

Pour ouvrir un port udp :

/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 10428,3187 -j ACCEPT ???

Pour fermer tout les autres ports :

/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP ???

Ou intervient l'ordre dans lequel ces commandes sont tapés?
Qu'est ce que -A, -i, -p, -m, --dport, multiport et -j veut dire?


Voila, j'ai restructuré ma question j'espére qu'elle inspirera plus de monde qu'avant....

[KasparoV]

bonsoir,

je ne peux que t'engager à lire de la doc relatives à netfilter, iptables..

des ref. en la matière:

http://christian.caleca.free.fr/netfilter/filter.htm

http://www.hsc.fr/ressources/presentations/netfilter/netfilter.htm

bonne lecture

[Barroudeur 13]

Merci beaucoup ^^

Moi qui savait pas quoi faire ce we

Je vais potasser tout ca, faire de petit essai et on verra....

Merci encore

[Barroudeur 13]

J'ai modifié comme suit mais ca ne marche toujours pas :

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A INPUT -o $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT
/sbin/iptables -A FORWARD -o $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -o $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DROP

Je ne doit pas comprendre la philosophie du truc....

/sbin/iptables -A INPUT -i lo -j ACCEPT <=== ca je ne sais toujours pas ce que c?????

Ce qui suit est la pour empécher les requéte ping :

/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT

Sa c"est compris ^^

Et maintenat c'est la que sa ce complique pour moi :

/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A INPUT -o $GREEN_DEV -j ACCEPT

J'ai rajouté la deuxiéme ligne pensant qu'en faisant sa j'ouvrais tout les port en sortie et entrée... Dite moi????

Avec les lignes qui suive je pensé ouvir ces ports en entrée sortie tcp et udp :

/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT
/sbin/iptables -A FORWARD -o $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -o $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT


Et j'ai supposé que les lignes suivantes étaient la pour bloquer les autres ports :

/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DROP

J'ai rajouté la deuxiéme ^^

Donc en récapitulant la procédure, ca donnerait ca :

On ouvre tout
On restreint l'ouverture a quelque ports
On ferme le reste

Non?

Si vous savez ou je me trompe dite le ca m'aiderait beaucoup...

[Dagg]

[...]
Donc en récapitulant la procédure, ca donnerait ca :
On ouvre tout
On restreint l'ouverture a quelque ports
On ferme le reste
Non?
Si vous savez ou je me trompe dite le ca m'aiderait beaucoup...

Du peu que je connais, c'est plutôt l'inverse qui est le plus sûr:
-On ferme tout
-On autorise le strict nécéssaire

[guiguid]

Salut,

Bon, vite fait :

la philosophie de base est effectivement on bloque tout, et on ouvre le strict minimum et on log ce qui peut etre suspect (syn flood, scan (NULL FIN ACK XMAX...) ip spoof

En debut de script, on efface tout :
iptables -X et -F sur toutes les tables

Ensuite on regle la politique pas defaut
iptables -p (input,output,forward) à DROP

Ensuite on cré une table pour logger ce que l'on DROP
iptable -? LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix="drop"
iptables -A LOG_DROP -j DROP

(a partir de maintenant, on n'utilise plus DROP, mais LOG_DROP (comme ca tu sais ou ca coince !

ensuite tu mets tes règles
Il faut vraiement lire la doc site plus haut + lire des exemples commenter et les comprendres !
Si non : passoire aveugle à la sortie !
-------
/sbin/iptables -A INPUT -i lo -j ACCEPT
--> on accepte tout ce qui entre par l'interface lo (loopback : 127.0.0.1) et est destiné a lo
--> ne pas oublier /sbin/iptables -A OUTPUT -o lo -j ACCEPT


/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
!!! faire l'inverse :
Autorise le type (ECHOREQUEST et ECHOREPLY)
et -j LOG_DROP le reste !

/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
--> autorise l'entree vers ipcop de packets entrant par l'interface GREEN (ton LAN)

/sbin/iptables -A INPUT -o $GREEN_DEV -j ACCEPT
--> autorise l'entree vers ipcop de packets sortant par l'interface GREEN (ton LAN)
--> faudrait faire un croquis mais ca sert a rien ....
--> !!! utilise plutot -A OUTPUT -o et -A INPUT -i (c'est beaucoup + clair !)



/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT

NON, c'est $RED et pas $GREEEN !
c'est bon début, mais n'oubloins pas les reponses !

-A FORWARD -o $RED -m sate ESTABLISH, RELATED -j ACCEPT

-----
/sbin/iptables -A FORWARD -o $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20,4664,7000,6112,4663,10428,1863,6891,6892 -j ACCEPT
/sbin/iptables -A FORWARD -o $GREEN_DEV -p udp -m multiport --dport 3187,10428 -j ACCEPT

NONONONON ne sert striquetement a rien, il faut comprendre le fonctionnement des flux ! ( voir la regle related et establish) On est sur un firewall STATEFULL !


/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DROP

ces regles de forward devrait etre sur RED!
Et c'est la qu'intervient LOG_DROP. Si non, tu peux pas savoir ce que tu jette ou autorise !

BREF, IPTABLES, C'EST PAS UN JEUX OU ON METS DES REGLES AU HAZARS EN ESPERANT QUE SA FONCTIONNE !!! TU DOIT COMPRENDRE CE QUE TU FAIS ! SI NON : AUCUNE CHANCE DE FAIRE CE QUE TU PENSAIS FAIRE !

Bonne lectrure.

Guillaume

[nero55]

salut guiguid

dans ton script quelle est la politique par default pour les entrés, sortie, et forward

merci

[Barroudeur 13]

Alors bon en faite, je ne pense pas avoir assé de connaissance en la matiére pour faire un bon rc.firewall car aprés une multitude d'essai réfléchi (lol) je n'arrive toujours pas a quelque chose de concluant.....
Je ne cherche pas a faire un super firwall mais seulement a ne pas avoir une belle passoire...

En faite tout se que je voudrais faire c un parefeu qui ne laisse ouvert qu'une dizaine de port et bloque tout le reste.... En autre les ports indiqué ci dessus

En réalité je cherchais juste a faire la manip du site "how to configure ipcop" qui consiste a tout bloqué pour ouvrir quelque ports ensuite alors si une ame charitable pourrait m"indiqué comment faire ceci simplement elle serait la bienvenue...

Tout ceci en attendant que mes connaissances en la matiére augmente de maniére a ce que je passe ensuite à une config plus propre et sécurisé...

Merci d'avance

[pkaer]

Salut,


As-tu regardé le site d'Antolien http://antolien.nerim.net/ le chapitre 7 devrait t'interresser.

@+
PK

[Barroudeur 13]

Je sais j'en vient de ce site et c'est aprés avoir lut le chapitre 7 que j'ai posté ici...

[nero55]

bonjours

je debute avec les script

petite question:

dans ipcop le fichier /est/rc.d/rc.firewall s'execute au demarage de la machine pour metre a jour les regle ?