Script firewall

par **targa** » 04 Juil 2003 13:05

Bonjour, C'est encore moi. Je reviens avec mon script. J'ai fait quelques modifs depuis la dernière fois. Je ne comprends je n'ai aucun logs qui s'affiche dans syslog. Comment retrouver simplement les logs ? #!/bin/sh # script /etc/firewall.sh echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 1 > /proc/sys/net/ipv4/conf/all/log_martians ## Reduce DoS'ing ability by reducing timeouts echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_timestamps echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog # Activation du forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Anti-spoofing if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi # Pas de icmp echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Vidage de toutes les règles /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -X /sbin/iptables -t nat -X # Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT # This chain will log, then DROPs "Xmas" and Null packets which might # indicate a port-scan attempt /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP # Disallow packets frequently used by port-scanners, XMas and Null /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN ## Création des logs iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP iptables -N LOG_ACCEPT iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : ' iptables -A LOG_ACCEPT -j ACCEPT # Politique par défaut iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT #iptables -A FORWARD -s 10.0.1.0/24 -j ACCEPT #################################################### Masquerading ######################################### iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -j MASQUERADE ################### ##################### iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT ###################################### #iptables -A INPUT -i eth1 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth1 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A OUTPUT -o eth1 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT Toutes critiques est la bien venue.

par **tomtom** » 04 Juil 2003 13:59

Je ne suis toujours pas convaincu par l'antispoofing integré, mais ca a une meilleure tete globalement maintenant <IMG SRC="images/smiles/icon_wink.gif"> T.

par **targa** » 04 Juil 2003 15:01

Merci, Pour cette histoire, d'antispoofing, je pense que je peux car elle ne sert à rien puisque si je ne me trompe pas la ligne "echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter " fait la même chose J'ai quelques problèmes avec les logs. Quelles sont les éléments important à logguer ? Par contre pourriez vous vérifier les logs, car dans syslog, je ne trouve pas de logs récents, les derniers datent de 2 jours.

par **tomtom** » 04 Juil 2003 15:17

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-04 15:01, targa a écrit: Merci, Pour cette histoire, d'antispoofing, je pense que je peux car elle ne sert à rien puisque si je ne me trompe pas la ligne "echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter " fait la même chose </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ca ca desactive l'antiospoofing, ce qui est bien à mon avis à condition de l'implementer ensuite dans ton script ce que tu ne fais pas ici....¨Par contre, plus loin, tu rajoutes de lignes qui servent à mettre l'antispoofing... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> J'ai quelques problèmes avec les logs. Quelles sont les éléments important à logguer ? Par contre pourriez vous vérifier les logs, car dans syslog, je ne trouve pas de logs récents, les derniers datent de 2 jours. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Tu as bien defini les tables de log, mais tu n'y envoies pas les paquets, donc c'est sur que tu n'as rien.. Pour logguer des trucs, tu dois remplacer le -j DROP par un -j LOG_DROP et le -j ACCEPT par un -j LOG_ACCEPT T. _________________ "Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie

par **targa** » 04 Juil 2003 15:30

Quels sont les logs importants que l'on doit matcher ? Il faut connaitre les tentatives de connexions. Je ne vois pas trop ou implémenter les logs.

par **tomtom** » 04 Juil 2003 15:37

Ben faut dire que tu n'as pas beaucoup de trucs dans ton script.... Tu peux t'inspirer d'un de mes anciens (fait une recherche sur le forum avec mon nom) tu vas le trouver... T.

par **targa** » 04 Juil 2003 16:09

Tu parles de ton site générateur de script ??

par **tomtom** » 04 Juil 2003 16:12

non, de mon script rc.firewall c'etait dans un poste a props du bnc je crois... neanmoins, le generateur est pas mal foutu ! T.

par **targa** » 04 Juil 2003 16:15

Ok c'est bon je les trouvé. Ce n'est pas trop la même chose. Beau travail.

par **targa** » 04 Juil 2003 16:48

Dans ton script à quel niveau tu mets en place du forwarding entre le green et le red pour laisser passer les connexions de l'intérieur vers l'extérieur. Il s'agit bien de : echo -n " les connexions etablies sont suivies: " $IPTABLES -A SuiviConnexions -m state --state NEW -i ! $IFRED -j ACCEPT $IPTABLES -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j SuiviConnexions $IPTABLES -A FORWARD -j SuiviConnexions Comment ca fonctionne ? Moi je fais ainsi : iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT J'indique bien mes 2 interfaces, comment en suivant ton modèle je devrais faire pour mettre une DMZ en eth2 et eth0

par **tomtom** » 04 Juil 2003 17:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> echo -n " les connexions etablies sont suivies: " $IPTABLES -A SuiviConnexions -m state --state NEW -i ! $IFRED -j ACCEPT $IPTABLES -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j SuiviConnexions $IPTABLES -A FORWARD -j SuiviConnexions Comment ca fonctionne ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Qu'est-ce qui te choque ? je lis en français : iptables ajouter à la table suiviConnexions la règle : les paquets dont l'etat est NEW (--state NEW) qui n'arrivent pas par l'interface red (-i ! $IFRED ) sont acceptés.... Ca veut dire : tout le monde a le droit d'etablir une connexion, sauf depuis Internet... (c'est une approche assez cool du firewall, mais ca fe suffisait à l'epoque). la deuxième règle : tout ce qui est deja etabli ou related est accepté.... ligne 3 et 4 : j'ajoute ces règles dans les tables INPUT et FORWARD. Apres ça : toutes les connexions emises soit par le firewall soit par le lan ou une dmz sont autorisées... par contre, toute nouvelle connexion depuis internet est rejetée... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Moi je fais ainsi : iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> c'est une autre approche... Je prefère la mienne car elle est plus generale et aussi plus claire dans ma tête. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> J'indique bien mes 2 interfaces, comment en suivant ton modèle je devrais faire pour mettre une DMZ en eth2 et eth0 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Tu n'as rien à faire avec mes règles pour autoriser une dmz. C'est deja inclus dedans... Economie de règles <IMG SRC="images/smiles/icon_smile.gif"> et de CPU aussi <IMG SRC="images/smiles/icon_biggrin.gif"> T.

par **targa** » 04 Juil 2003 18:16

Je commence à comprendre. Vraiment bien. Si je peux encore me permettre, j'ai essayé ton script et il ne loggue rien. Il n'arrive pas à charger tous les modules au démarrage. Qu'est ce que j'ai pas fait ? En tout cas merci beaucoup de m'accorder autant de temps.

par **tomtom** » 04 Juil 2003 18:19

Il n'y a aucune log dans ce script, c'est pour ça <IMG SRC="images/smiles/icon_wink.gif"> Si tu veux ajouter des logs : reprends la syntaxe de ton script iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix [IPTABLES DROP] iptables -A LOAG_DROP -j DROP ensuite, pour tout ce que tu veux logguer, tu remplaces le -j DROP par un -j LOG_drop. et aussi, tu ajoutes à la fin de chaque chaine un LOG. ex apres toutes les règles, iptables -A INPUT -j LOG iptables -A FORWARD -j LOG voila tes logs vont réapparaitre... T.

par **DgSe95** » 06 Juil 2003 06:05

que pensez vous de ça ? <a href="http://securityfocus.org/infocus/unix?topic=fwrules" target="_blank">http://securityfocus.org/infocus/unix?topic=fwrules</a> il y a pas mal de choses a reprendre dedans je crois....

par **targa** » 07 Juil 2003 11:42

Bonjour, Pas mal ton site DgSe95, il y a quelques trucs à récupérer. Comment je dois faire pour limiter que le traffic web de ma dmz avec le script de tomtom. Dans mon cas j'utilise une dmz en 10.0.0.0/24 et avec épatement elle est accessible sans rien changer au script.

Script firewall

Qui est en ligne ?