Iptables, Synflood, tcpflags, etc...

[Fredish]

Bonsoir à tous.

Encore une question...

Après avoir parcouru les posts à ce sujet, j'ai vu differentes choses pour empecher le scan de ports. Donc, j'ai repris quelque peu les lignes que j'ai trouvées à ce sujet pour les inserer dans mon script, et c'est là que le problème se pose. Voici les lignes en question:

iptables -N SYN
iptables -A SYN -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A SYN -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT
iptables -A SYN -j LOG --log-prefix "IPTABLES:SYN:DROP"
iptables -A SYN -j DROP
iptables -A INPUT -p tcp -j SYN

Alors, j'ai bien les logs, mais apparemment tout est droppé. J'envois mais je ne recois rien. J'ai essayé de changer la limite de temps d'acces. J'ai une ligne isdn 64K; ca a peut-être un rapport. Par contre, quand je mets juste ces lignes-là:

iptables -A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT

ca fonctionne. Mais le fait est que je me demande si elles sont bien utiles en fait... Et j'ai bien peur, en plus de faire n'importe quoi avec la première méthode aussi. Bref, qu'est-ce qui ne va pas dans les premieres lignes? Si vous voulez mon script complet, je peux le mettre, mais j'ai préféré éviter vu qu'il est tout ce qu'il y a de plus classique, et que je ne voulais pas surcharger le post. Voilà.

P.S.: Je mets le lien que j'ai utilisé comme source, ca peut toujours servir: viewtopic.php?t=5271

[Fredish]

Je dois poser des questions de noobie... trop technique pour le néophyte et agacante pour les experts... lol.

Pour le deuxième exemple, j'ai compris; contrairement à ce qu'on pourrait penser, l'accept introduit une restriction de plus, enfin je crois que c'est ca... Pour le premier, je vois toujours pas. Ca me semble être exactement la même chose, pourtant(à part le log).

[Fredish]

N'ayant pas de réponses, je mets mon fichier complet. Si vous avez des commentaires ou des conseils dessus n'hésitez pas. Et puis j'espere que ca en aidera quelques-uns à faire leurs iptables de la façon la plus simple:

Code: Tout sélectionner

#!/bin/sh

#Clean des règles de filtrage
iptables -F
iptables -X

#Connexions entrantes ignorées
iptables -P INPUT DROP

#Forward ignoré
iptables -P FORWARD DROP

#Connexions sortantes ignorées
iptables -P OUTPUT DROP

#Tout accepter en local
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Accepter le DNS
iptables -A INPUT -i ppp0 --protocol udp -s 195.170.0.2 --source-port 53 -j ACCEPT
iptables -A INPUT -i ppp0 --protocol udp -s 195.170.2.1 --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -d 195.170.0.2 --destination-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp -d 195.170.2.1 --destination-port 53 -j ACCEPT

#Accepter le protocole ICMP
iptables -N ICMP
iptables -A ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-reply -m limit --limit 1/second -j ACCEPT

        #Virer le reste
iptables -A ICMP -j DROP
iptables -A INPUT -p icmp -j ICMP

        #Mais accepter le ping sortant
iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT

#Ignorer le protocole IGMP
iptables -A INPUT -p igmp -j DROP

#Ignorer le protocole PIM
iptables -A INPUT -p pim -j DROP

#Détection des Scans furtifs (en cours)
#iptables -A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT

#msn
iptables -A OUTPUT --protocol tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT --protocol tcp --sport 1863 -m state --state ESTABLISHED -j ACCEPT

#jabber
iptables -A OUTPUT --protocol tcp --dport 5222 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT --protocol tcp --sport 5222 -m state --state ESTABLISHED -j ACCEPT

#icq
iptables -A OUTPUT --protocol tcp --dport 5190 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT --protocol tcp --sport 5190 -m state --state ESTABLISHED -j ACCEPT

#irc
iptables -A OUTPUT --protocol tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT --protocol tcp --sport 6667 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT

#http
iptables -A INPUT --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

        #Mode passif
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Mail
iptables -A OUTPUT -o ppp0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

#Log des paquets refusés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES:tout:IGNORE] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP

Entre parenthèse, je remercie tomtom pour l'icmp.

Pour le dns, il faut bien entendu y mettre ses propres serveurs. Eventuellemment, on peut faire la même chose pour les mails, amsi ce n'est pas vraiment necessaire vu qu'il y a la mention new. Je reviendrai, lorsque j'aurai le temps, y apporter des modifications, notamment pour pouvoir parler sur irc, et icq. Voilà

[Fredish]

J'ai rajouté quelques regles pour le chat et l'irc. Quant au dcc, j'ai pas encore essayé. Je verrai ca.

[Fredish]

Le dcc fonctionne maintenant.

(enfin, en cas de non-utilisation du dcc ou du ftp , perso, je commente ces règles un peu trop permissives)

[Bismuth]

Merci pour ton script fredish ca m'a bien aidé. Clair, commenté, tout ce qu'il faut !

Quant à ton problème de syn flood, je ne sais pas te répondre...

[Fredish]

Ben, en fait, il concentre toute la doc qu'on peut trouver sur le net pour les utilisations les plus courantes sur un poste de travail, donc c'est sympa, oui.

Sinon, on m'a un peu expliqué, c'etait évident que ca marchait pas pour le premier exemple, quelqu'un qui s'y connait en tcpt/ip voit tout de suite l'énorme erreur... Rien ne passe sauf les syn et les reset, pas de ack, etc (si je savais ce que c'etait... lol). Voilà quoi. Donc, pour faire un truc un peu plus poussé comme je voulais le faire, il faut beaucoup plus s'y connaître, et c'est dangereux de recopier ce type de script si on ne sait pas trop ce que ca fait, alors je laisse comme ca.

[Fredish]

Bon, ben, j'ai compris finalement l'utilité des deux lignes dont je donne le lien dans mon premier post, là:

iptables -A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT

En fait, ca permet d'ouvrir un tout petit peu sans que ce soit dangereux, de sorte à ce qu'on puisse détecter effectivement les scans furtifs; mais le problème, c'est que là, comme il est, il n'a aucune utilité vu que je ne logge pas les paquets acceptés. C'est ce que j'avais essayé de faire avec la nouvelle valeur créée, bien maladroitement, il faut l'avouer... Mais bon, je suis sans connaissance de tout ca, alors, c'est pardonnable.

Donc, mon soucis serait de savoir comment loguer ces paquets-là sans loguer tout les paquets acceptés. Là, j'ai besoin d'aide, s'il-vous-plaît...

[Franck78]

Fredisk roi de l'autopost...!

Tu crées une nouvelle chaines qui ne fait que logguer mais pas trop!

iptables -N logging
iptables -A logging une limite qui fini par -J RETURN
iptables -A logging log --log-prfix "je log ce paquet:"

...

iptables -A INPUT condition -J logging



En gros tu balances dans 'logging' les paquets qui répondent à tes conditions. Logging logue ou pas selon la limite, si tu veux éviter d'inonder ton disque.


Bon la syntaxe n'est pas correcte, il est tard, mais la solution doit fonctionner.
Ne fait pas de -J ACCEPT dans 'logging'. C'est pas son rôle.

[iraysyvalo]

Ou est ta regle dcc, Fredish ?

Franck, pourquoi un -j RETURN ??

[iraysyvalo]

Fredish, je vois pas tres bien ce que tu veux faire reellement finalement ? Que veux-tu logger exactement et comment reconnaitre informellement mais clairement ce que tu veux logguer (caracteristiques) ?

[iraysyvalo]

iptables -N SYN
iptables -A SYN -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A SYN -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT
iptables -A SYN -j LOG --log-prefix "IPTABLES:SYN:DROP"
iptables -A SYN -j DROP
iptables -A INPUT -p tcp -j SYN

Alors, j'ai bien les logs, mais apparemment tout est droppé.

C'est normal si tout est droppé apres que tu les ais logges ... mais vois ma question precedente car je sais plus ce que tu veux vraiment faire ....

[Fredish]

Tout d'abord, je te remercie Franck, bien que je n'aie pas bien compris, je vais me pencher sur tes indications.

Sinon, que de questions iraysyvalo... Ben, ma foi, je voudrais logguer exactement les lignes que j'ai données mais sans logguer tout les paquets acceptés, parce que j'ai pas que ca à faire.

Les lignes pour le dcc:

iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

Les deux dernieres lignes servent aussi à l'ftp passif. En fait, c'est tiré du tuto sur le site de léa, seulement chez moi, ca marchait pas, j'ai dû rajouter un related. Voilà quoi.

Donc, je regarde ta solution franck, mais si tu as le temps d'expliciter un peu ca demain, avec plaisir...

[Franck78]

prends ça comme un sous programme!

Lire:
http://www.faqs.org/docs/iptables/targe ... TURNTARGET

[iraysyvalo]

En termes plus clairs, Fred -> Ce que je veux dire, ton premier exemple du premier post fait ce qu'il est cense faire : il detecte ceratins evenements et il les droppe .... donc je vois pas trop ton probleme des posts suivants (dsl d'etre aussi lent )


Merci Franck