pb pour interdire 1 cnx ssh sortante avec iptables

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

pb pour interdire 1 cnx ssh sortante avec iptables

Messagepar neilaK » 25 Août 2006 12:57

Bonjour tout le monde
je voudrais interdire les tentatives d'acces ssh sortantes d'une machine linux qu'on administre et autoriser l'acces ssh entrant
Sachant que la chaine output etait vide j'ai executé les commandes suivantes:

Code: Tout sélectionner
iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP
service iptables save
chkconfig iptables on


Quand j'essai la commande scp sortante (exp scp /home/wiwi user@x.x.x.x:/home/user) ou des tentatives ssh x.x.x.x, tout fonctionne comme si je n'ai rien chagé
Avez vous une idée?
Merci
neilaK
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Août 2006 12:53

Messagepar jdh » 25 Août 2006 13:23

Une connexion "sortante ssh" ce n'est pas une connexion avec un port de destination 22/TCP ?

Peut-être

iptables [-t filter] -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP

- [t filter] : est implicite donc pas nécessaire
- -p tcp --dport 22 : c'est bien du ssh
- -o eth1 : eth1 est l'interface de sortie
- -j DROP : paquet supprimé


Il est rare que l'on teste le port source. On teste le port destination parce que c'est le port ouvert par le serveur, et qui définit le protocole.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar neilaK » 25 Août 2006 13:30

Une connexion "sortante ssh" ce n'est pas une connexion avec un port de destination 22/TCP ?

justement je ne le pense pas car --dport est plutot utilisé avec la chaine INPUT
neilaK
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Août 2006 12:53

Messagepar jdh » 25 Août 2006 13:56

Et non !

Un serveur SSH c'est un serveur qui accepte les entrées sur le port TCP/22. Donc le client initialisera l'accès par un paquet de type TCP/(ip src, 3456) -> (ip srv,22), donc le dport est bien 22. Autrement dit, une entrée à TCP/22 veut dire une destination à 22 QUAND on se place du côté client.

Réciproquement, on installe un serveur SSH sur un serveur Linux disposant de 2 interfaces (eth0 et eth1). Si on veut interdire l'accès par les PC venant de l'interface eth1, on écrira une règle comme :

iptables -A INPUT -p tcp --dport 22 -o eth1 -j DROP : interdiction venant d'eth1 d'attaquer le port local 22 = SSH.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar neilaK » 26 Août 2006 13:05

si j'ai bien compris, disposant d'1 serveur possedant deux cartes , et voulant interdire les connexion ssh sortantes de ce serveur et autoriser celles entrantes, la régle est la suivante
Code: Tout sélectionner
iptables -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP
neilaK
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Août 2006 12:53

Messagepar jdh » 26 Août 2006 13:11

* Connexions sortantes interdites vers des serveurs SSH :
iptables -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP (eth1 est l'interface vers Internet)

* Connexion entrantes interdites en SSH (serveur SSH installé) :
iptables -A INPUT -p --dport 22 -i eth1 -j DROP (eth1 est l'interface vers Internet)


J'ai 2 conseils qui me paraissent plus que nécessaires :

- Christian Caleca : site général sur le réseau qui explique très bien les choses. (Merci à lui)
- http://www.shorewall.net : un pgm qui permet de configurer de façon très simple un firewall efficace.

Par exemple avec Shorewall on écrit très simplement :

DROP fw net tcp ssh : sortant interdit (DROP)
DROP net fw tcp ssh : entrant interdit (DROP)

Par ailleurs, la sécurité c'est d'abord une "policy" qui devrait être à DROP. Ensuite on autorise explicitement ce qu'on veut. C'est beaucoup plus simple.
Dernière édition par jdh le 26 Août 2006 13:17, édité 2 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar neilaK » 26 Août 2006 13:15

Merci jdh , je veillerai à lire la doc
neilaK
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Août 2006 12:53


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron