pb pour interdire 1 cnx ssh sortante avec iptables

[neilaK]

Bonjour tout le monde
je voudrais interdire les tentatives d'acces ssh sortantes d'une machine linux qu'on administre et autoriser l'acces ssh entrant
Sachant que la chaine output etait vide j'ai executé les commandes suivantes:

Code: Tout sélectionner

iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP
service iptables save
chkconfig iptables on


Quand j'essai la commande scp sortante (exp scp /home/wiwi user@x.x.x.x:/home/user) ou des tentatives ssh x.x.x.x, tout fonctionne comme si je n'ai rien chagé
Avez vous une idée?
Merci

[jdh]

Une connexion "sortante ssh" ce n'est pas une connexion avec un port de destination 22/TCP ?

Peut-être

iptables [-t filter] -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP

- [t filter] : est implicite donc pas nécessaire
- -p tcp --dport 22 : c'est bien du ssh
- -o eth1 : eth1 est l'interface de sortie
- -j DROP : paquet supprimé


Il est rare que l'on teste le port source. On teste le port destination parce que c'est le port ouvert par le serveur, et qui définit le protocole.

[neilaK]

Une connexion "sortante ssh" ce n'est pas une connexion avec un port de destination 22/TCP ?

justement je ne le pense pas car --dport est plutot utilisé avec la chaine INPUT

[jdh]

Et non !

Un serveur SSH c'est un serveur qui accepte les entrées sur le port TCP/22. Donc le client initialisera l'accès par un paquet de type TCP/(ip src, 3456) -> (ip srv,22), donc le dport est bien 22. Autrement dit, une entrée à TCP/22 veut dire une destination à 22 QUAND on se place du côté client.

Réciproquement, on installe un serveur SSH sur un serveur Linux disposant de 2 interfaces (eth0 et eth1). Si on veut interdire l'accès par les PC venant de l'interface eth1, on écrira une règle comme :

iptables -A INPUT -p tcp --dport 22 -o eth1 -j DROP : interdiction venant d'eth1 d'attaquer le port local 22 = SSH.

[neilaK]

si j'ai bien compris, disposant d'1 serveur possedant deux cartes , et voulant interdire les connexion ssh sortantes de ce serveur et autoriser celles entrantes, la régle est la suivante

Code: Tout sélectionner

iptables -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP

[jdh]

* Connexions sortantes interdites vers des serveurs SSH :
iptables -A OUTPUT -p tcp --dport 22 -o eth1 -j DROP (eth1 est l'interface vers Internet)

* Connexion entrantes interdites en SSH (serveur SSH installé) :
iptables -A INPUT -p --dport 22 -i eth1 -j DROP (eth1 est l'interface vers Internet)


J'ai 2 conseils qui me paraissent plus que nécessaires :

- Christian Caleca : site général sur le réseau qui explique très bien les choses. (Merci à lui)
- http://www.shorewall.net : un pgm qui permet de configurer de façon très simple un firewall efficace.

Par exemple avec Shorewall on écrit très simplement :

DROP fw net tcp ssh : sortant interdit (DROP)
DROP net fw tcp ssh : entrant interdit (DROP)

Par ailleurs, la sécurité c'est d'abord une "policy" qui devrait être à DROP. Ensuite on autorise explicitement ce qu'on veut. C'est beaucoup plus simple.

[neilaK]

Merci jdh , je veillerai à lire la doc