iptables = ennemi php ???
Modérateur: modos Ixus
22 messages
• Page 1 sur 2 • 1, 2
par romeo » 09 Avr 2003 10:43
voici mon script iptables
<BR>
<BR>#!/bin/sh
<BR>
<BR>INTERNALIF="eth1" # carte donnant sur le réau interne.
<BR>INTERNALNET="xxx.xxx.xxx.xxx/xx" # IP Réau Interne.
<BR>INTERNALBCAST="xxx.xxx.xxx.xxx" # IP Broadcast.
<BR>EXTERNALIF="eth0" #carte donnant sur l'extéeur.
<BR>EXTERNALIP="xxx.xxx.xxx.xxx" # Adresse IP externe néssaire en cas de DNAT
<BR>
<BR>## Suppression de toutes les rèes:
<BR>iptables -F INPUT # rèes sur les paquets entrants
<BR>iptables -F OUTPUT # rèes sur les paquets sortants
<BR>iptables -F FORWARD # rèes sur le Forwarding/masquerading
<BR>iptables -t nat -F # rèes sur le Nat
<BR>
<BR># Refuse les connections depuis l'interface interne vers l'extéeur.
<BR>iptables -A INPUT -d 127.0.0.0/8 -j REJECT
<BR>
<BR>
<BR># traffic illimitéepuis le réau interne.
<BR>iptables -A INPUT -i eth1 -s xxx.xxx.xxx.xxx/xx -j ACCEPT
<BR>
<BR>
<BR># Interdit tous les autres paquets a êe forwardé
<BR>iptables -A FORWARD -o eth0 -i eth1 -j REJECT
<BR>iptables -A FORWARD -o eth1 -i eth0 -j REJECT
<BR>
<BR>
<BR># autorise les paquets entrant pour les diffénts services listé
<BR>iptables -A INPUT -i $INTERNALIF -p tcp --dport 20 -j ACCEPT # ftp-data
<BR>iptables -A INPUT -i $INTERNALIF -p tcp --dport 21 -j ACCEPT # ftp
<BR>iptables -A INPUT -i $INTERNALIF -p tcp --dport 22 -j ACCEPT # ssh
<BR>iptables -A INPUT -p tcp --dport 23 -j REJECT #telnet
<BR>
<BR>exit 0
<BR>
<BR>
<BR>
<BR>Il est responsable d'un fort ralentissement sur mon serveur web, notamment, dans la generation de pages avec php et passages de parametres....qqn aurait une idee ????
-
romeo - Major
- Messages: 74
- Inscrit le: 13 Mars 2003 01:00
par grosbedos » 09 Avr 2003 11:21
# Refuse les connections depuis l'interface interne vers l'extéeur.
<BR>iptables -A INPUT -d 127.0.0.0/8 -j REJECT
<BR>
<BR>
<BR>il faut mettre -s 127.0.0.0/8 pour que ca concorde avec l'explication. (a la place de -d 127.0.0.0/8)
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par grosbedos » 09 Avr 2003 11:29
# traffic illimitéepuis le réau interne.
<BR>iptables -A INPUT -i eth1 -s xxx.xxx.xxx.xxx/xx -j ACCEPT
<BR>
<BR>
<BR>et avec ceci je crois que tu autorise ton réseau local à aller sur ton firewall, mais pas sur le net.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par grosbedos » 09 Avr 2003 11:36
mais tu sais, ton script et vraiment court..il manque beaucoup de choses quand meme..
<BR>rien que definir les polices par default..
<BR>
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par grosbedos » 09 Avr 2003 11:59
je ne sais pas si t'a déjà lu ca..mais ca pourrait bien t'aider :
<BR><!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/" target="_blank">http://christian.caleca.free.fr/netfilter/</a><!-- BBCode auto-link end -->
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par romeo » 09 Avr 2003 12:06
encore des questions :
<BR>voici une autre partie de mon script :
<BR>
<BR>## Si les paquets ne correspondent a aucune des entrees on les
<BR># log et on les rejette
<BR>iptables -A INPUT -p tcp -syn -m limit --limit 5/minute -j LOG -log-prefix "Firewalled packet:"
<BR>iptables -A FORWARD -p tcp -syn -m limit --limit 5/minute -j LOG -log-prefix "Firewalled packet:"
<BR># Rejet
<BR>iptables -A INPUT -p tcp -j REJECT -reject-with tcp-reset
<BR>iptables -A INPUT -p all -j DROP
<BR>iptables -A FORWARD -p tcp -j REJECT -reject-with tcp-reset
<BR>iptables -A FORWARD -p all -j DROP
<BR>
<BR>
<BR>j'obtiens les messages suivants :
<BR>iptables v1.2.6a: Unknown arg `LOG'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `LOG'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `-j'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `-j'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>
<BR>
<BR>un indice ?
-
romeo - Major
- Messages: 74
- Inscrit le: 13 Mars 2003 01:00
par DgSe95 » 09 Avr 2003 12:10
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>
<BR>Le 2003-04-09 11:59, grosbedos a écrit:
<BR>je ne sais pas si t'a déjà lu ca..mais ca pourrait bien t'aider :
<BR><!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/" target="_blank">http://christian.caleca.free.fr/netfilter/</a><!-- BBCode auto-link end -->
<BR>
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>ouah ! t'as l'air en forme ce matin grosbedos ! je savais pas que tu était un pro de IPTABLE ! <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">
DgSe95 est de retour 
-
DgSe95 - Vice-Amiral
- Messages: 666
- Inscrit le: 03 Mars 2003 01:00
- Localisation: Genève, Suisse
par DgSe95 » 09 Avr 2003 12:13
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>
<BR>Le 2003-04-09 12:06, elanspeech a écrit:
<BR>encore des questions :
<BR>voici une autre partie de mon script :
<BR>
<BR>## Si les paquets ne correspondent a aucune des entrees on les
<BR># log et on les rejette
<BR>iptables -A INPUT -p tcp -syn -m limit --limit 5/minute -j LOG -log-prefix "Firewalled packet:"
<BR>iptables -A FORWARD -p tcp -syn -m limit --limit 5/minute -j LOG -log-prefix "Firewalled packet:"
<BR># Rejet
<BR>iptables -A INPUT -p tcp -j REJECT -reject-with tcp-reset
<BR>iptables -A INPUT -p all -j DROP
<BR>iptables -A FORWARD -p tcp -j REJECT -reject-with tcp-reset
<BR>iptables -A FORWARD -p all -j DROP
<BR>
<BR>
<BR>j'obtiens les messages suivants :
<BR>iptables v1.2.6a: Unknown arg `LOG'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `LOG'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `-j'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>iptables v1.2.6a: Unknown arg `-j'
<BR>Try `iptables -h' or 'iptables --help' for more information.
<BR>
<BR>
<BR>un indice ?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>
<BR>je ne sais pas si tu as bien regarder le liens que grosbedos t'a donner, car c'est site très interessant, tu trouvera surement des réponses...
<BR>
<BR>pour l'instant, je ne peux te faire qu'une seule remarque... utiliser plutot DROP que REJECT, REJECT est plus pour rejetter les paquet, je pense pour uniquement bloquer un service, alors que DROP, annule le paquet, donc je pense que ton script sera déjà plus rapide
DgSe95 est de retour
-
DgSe95 - Vice-Amiral
- Messages: 666
- Inscrit le: 03 Mars 2003 01:00
- Localisation: Genève, Suisse
par tomtom » 09 Avr 2003 22:05
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>
<BR>Le 2003-04-09 12:13, DgSe95 a écrit:
<BR>[pour l'instant, je ne peux te faire qu'une seule remarque... utiliser plutot DROP que REJECT, REJECT est plus pour rejetter les paquet, je pense pour uniquement bloquer un service, alors que DROP, annule le paquet, donc je pense que ton script sera déjà plus rapide
<BR>
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>
<BR>En fait c'est surtout que REJECT envoie un message de refus alors que DROP non...
<BR>
<BR>Et la règle d'or de la securité : Moins on en dit au pirate, mieux on se porte <IMG SRC="images/smiles/icon_wink.gif">
<BR>
<BR>Sinon oui il faut mettre -- au lieu de - comme le fait remarquer grosbedo!
<BR>
<BR>Thomas
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par DgSe95 » 10 Avr 2003 01:12
merci tfillaud j'avais oublier ça aussi, c'est REJECT envoi des messages, de type ICMP unreachable si je ne me trompe... donc tu as raison moins on parle mieux c'est
DgSe95 est de retour
-
DgSe95 - Vice-Amiral
- Messages: 666
- Inscrit le: 03 Mars 2003 01:00
- Localisation: Genève, Suisse
par romeo » 10 Avr 2003 09:40
ah iptables....;o)
<BR>
<BR>Cette regle bloque l'acces a mon serveur web :
<BR>
<BR># Refuse tous paquets depuis l'exterieur pretendant etre du reseau interne
<BR>iptables -A INPUT -i eth0 -s 192.168.XXX.XXX/XX -j REJECT
<BR>
<BR>eth0 est mon interface WAN. j'ai le meme probleme si je drop au lieu de reject
<BR>
<BR>qqn aurait une idee.
<BR>
<BR>merci
-
romeo - Major
- Messages: 74
- Inscrit le: 13 Mars 2003 01:00
22 messages
• Page 1 sur 2 • 1, 2
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)