Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 03/09/2014, à 11:04

levy-san

Iptables question

Bonjour,

J'aurais une question quand au script iptables présent : http://doc.ubuntu-fr.org/iptables#script_iptables
que je vais copier coller ici :

#!/bin/bash
## Script iptables by BeAvEr.
## Règles iptables.
## On flush iptables.
iptables -F
## On supprime toutes les chaînes utilisateurs.
iptables -X
## On drop tout le trafic entrant.
iptables -P INPUT DROP
## On drop tout le trafic sortant.
iptables -P OUTPUT DROP
## On drop le forward.
iptables -P FORWARD DROP
## On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
## Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
## Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
## On accepte la boucle locale en entrée.
iptables -I INPUT -i lo -j ACCEPT
## On log les paquets en entrée.
iptables -A INPUT -j LOG
## On log les paquets forward.
iptables -A FORWARD -j LOG 
exit 0

j'aurais une question quand a deux de ces lignes de code :

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

La première n'est elle pas trop permissive ?
Et pourquoi la seconde contient INVALID ?
et surtout comment modifier ce code pour n'autorisé que les port 80 et 443 ? car lorsque j'essaye une modification en suivant d'autre script pré établi ma connection est tous simplement impossible hmm

Voilà merci d'avance
Levy

Hors ligne

#2 Le 03/09/2014, à 12:18

fruitsecrases

Re : Iptables question

levy-san a écrit :

Bonjour,

J'aurais une question quand au script iptables présent : http://doc.ubuntu-fr.org/iptables#script_iptables
que je vais copier coller ici :

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

La première n'est elle pas trop permissive ?

Voilà merci d'avance
Levy


Hello, je n'ai plus le temps de chercher pour l'argument INVALID (et je ne peux rien dire dessus, je ne l'ai jamais vu), voir sur le site de Netfilter.org il y a des tas de pages et de liens qui pointent vers des explications en français.

Pour la première je peux répondre, que ce n'est pas trop permissif non, c'est même une ligne de commande Iptables de sécurité. Si ta ligne avait l'argument NEW, (en plus de RELATED et ESTABLISHED), là ce serait un "dangereux".

Car si ta politique de la chaîne INPUT est en DROP. Ce serait un non sens si ta ligne IPTABLES seraitla suivante :

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Avec la ligne de commande que je viens de mettre, on voit qu'il y a l'argument NEW en plus, cela reviendrait à avoir un POLICY de INPUT en ACCEPT pour tout, donc pour toutes nouvelles connexions venant de l'extérieur...

Pour rentrer un peu plus dans les détails, les arguments ESTABLISHED et RELATED sont là pour laisser rentrer ce que tu demandes de l'extérieur. Par exemple tu intérooges le moteur de recherches Startpage et pour pouvoir te connecter à ce site, il ne suffit pas de laisser sortir Firefox, il faut aussi dire à IPTABLES de laisser rentrer ce que TOI tu inities depuis ton Ubuntu... Sinon pas de surf, et la ligne suivante sous INPUT, est là pour cela :

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tu trouveras sûrement dans quelques minutes ici même une bien meilleure explication d'un autre membre, plus juste aussi, et sur les pages d'aide et les liens du site Netfilter.org encore sûrement d'autres précisions.

Dernière modification par fruitsecrases (Le 03/09/2014, à 12:44)

Hors ligne

#3 Le 03/09/2014, à 12:59

levy-san

Re : Iptables question

Ok merci pour ta réponse qui m'a permis de comprendre, et content de voir qu'il n'y a pas que moi qui utilise Startpage ^^

Hors ligne

#4 Le 04/09/2014, à 15:16

fruitsecrases

Re : Iptables question

De rien, je suis content si cela a aidé. As-tu trouvé pour l'argument "Invalid" ?

Hors ligne

#5 Le 04/09/2014, à 19:58

tiramiseb

Re : Iptables question

Salut,

Arrête de te faire chier, utilise UFW...

Et puis bon, il y a de fortes chances qu'un pare-feu soit inutile...

Hors ligne

#6 Le 05/09/2014, à 12:22

levy-san

Re : Iptables question

Le truc est que j'ai pour intention de faire un serveur avec iptable et je n'ai aucune envie d'utilisé ufw (pourquoi passé par un intermédiaire quand on peut directement aller a la source ?)

Hors ligne

#7 Le 05/09/2014, à 15:14

tiramiseb

Re : Iptables question

pourquoi passé par un intermédiaire quand on peut directement aller a la source ?

Pourquoi acheter des vêtements en magasin quand on peut s'en tricoter soi-même ?


Ça te simplifie la vie, tout simplement.
UFW fait tout plein de choses que tu ne feras pas toi-même avec un script iptables.
Un exemple parmi tant d'autres : par défaut il met en place des logs, sans que tu n'aies rien à lui dire.

Le truc est que j'ai pour intention de faire un serveur avec iptable

Un serveur avec iptables ?
Quand on fait un serveur, dans la plupart des cas, on n'a pas besoin de pare-feu.
Je répète donc : il y a de fortes chances qu'un pare-feu soit inutile...

Hors ligne

#8 Le 05/09/2014, à 15:54

fruitsecrases

Re : Iptables question

levy-san a écrit :

Le truc est que j'ai pour intention de faire un serveur avec iptable et je n'ai aucune envie d'utilisé ufw (pourquoi passé par un intermédiaire quand on peut directement aller a la source ?)

Si tu as des questions sur Iptables n'hésites pas, je fais pas mal de choses avec et j'ai de la doc PDF que je peux te filer par email car je l'ai achetée celle-là par contre, mais dans ce PDF ils expliquent très clairement comment mettre en place des règles IPtables avec pour leurs exemples, différentes architectures réseaux faites avec IPtables et pour...
...serveurs justement big_smile

Donc bon, si tu ne trouves pas ton bonheur avec UFW aucun soucis, on a de la ressources instruites sur le forum (différents membres, capables de vouloir t'aider sans te juger ou essayer de te faire passer pour un c.. ) big_smile T'inquiètes lol

Dernière modification par fruitsecrases (Le 05/09/2014, à 15:55)

Hors ligne

#9 Le 05/09/2014, à 16:31

levy-san

Re : Iptables question

tiramiseb a écrit :

Quand on fait un serveur, dans la plupart des cas, on n'a pas besoin de pare-feu.

Bah la tu m'apprend un truc par ce que mon prof de réseau n'a cessé de nous répêter qu'un serveur sans pare feu c'est la pire idée qu'on puisse avoir

@fruitsecrases
Le pdf m'intéresse en effet ^^

Edit si je m'intéresse a iptables c'est par ce que je ne veux pas voir de windauuube serveur chez moi de ce fait je préfère apprendre a mettre en place la sécurité sur un serveur linux Avant de le mettre en place

Dernière modification par levy-san (Le 05/09/2014, à 16:33)

Hors ligne

#10 Le 05/09/2014, à 17:08

tiramiseb

Re : Iptables question

Bah la tu m'apprend un truc par ce que mon prof de réseau n'a cessé de nous répêter qu'un serveur sans pare feu c'est la pire idée qu'on puisse avoir

Plutôt que d'asséner une affirmation sans l'étayer, je vais t'expliquer pourquoi c'est généralement inutile d'une manière qui sera, je l'espère, facile à comprendre.

En préambule, je précise que je ne parle pas de règles de filtrage "sélectives" (genre on n'autorise qu'une seule adresse IP à accéder à un service particulier). Je parle uniquement des règles "tout ou rien", qui sont mises en place dans la majorité des cas.

On a aussi besoin d'une définition bien précise de ce que fait un pare-feu (je parle encore une fois de la majorité des cas, pas de cas particuliers). Un pare-feu, ça permet de fermer un port afin d'empêcher les autres machines d'accéder à un service qui serait en écoute sur un port.

Partons maintenant sur un serveur de base, sans aucun service. Aucun service, ça veut dire aucun port en écoute. Aucun port en écoute, ça veut dire qu'aucun filtrage ne serait utile : un pare-feu qui bloque un accès à un port qui est de toute manière fermé, ça ne sert à rien.

Mettons en place un serveur SSH. Cela veut dire que le port 22 est alors ouvert. À quoi servirait alors un pare-feu ? À bloquer l'accès à ce port 22. Mais si on a installé SSH, c'est pour l'utiliser. Donc bloquer le port serait contre-productif.

Ajoutons Apache pour créer un serveur web. Cela veut dire que le port 80 est alors ouvert. Même logique que pour SSH : le pare-feu pourrait bloquer le port 80. Mais si on a installé Apache, c'est pour l'utiliser : bloquer le port 80 empêcherait d'accéder aux pages web desservies par Apache.

Installons maintenant MySQL. J'imagine que tu es d'accord avec moi si je dis que le port de MySQL (3306) n'a pas à être utilisé par les autres machines. Eh bien tu sais quoi ? Le paquet MySQL de Debian (et donc d'Ubuntu, étant une dérivée de Debian) est très bien fait : par défaut, MySQL n'écoute sur le port 3306 que sur l'interface locale (localhost, 127.0.0.1). MySQL est donc totalement inaccessible de l'extérieur, le port 3306 est fermé sur l'adresse IP publique. Il est alors inutile d'ajouter un filtrage sur un port fermé.
Et si MySQL écoutait par défaut sur l'adresse IP publique, alors mon conseil ne serait pas de mettre un pare-feu mais de configurer MySQL pour qu'il n'écoute qu'en local.

Et on peut appliquer cette logique sur n'importe quel logiciel serveur que tu voudrais installer : si tu l'installes, c'est pour l'utiliser. Donc ne pas le filtrer. Donc un pare-feu est inutile.


L'utilité de Netfiler, c'est :
- soit de bloquer des ports que tu ne peux pas fermer (cas très rare) ;
- soit de faire un filtrage sélectif (mais je parie que ce n'est pas ce que tu envisageais de faire) ;
- soit de faire des redirections de port.

Dernière modification par tiramiseb (Le 05/09/2014, à 17:36)

Hors ligne

#11 Le 05/09/2014, à 18:01

levy-san

Re : Iptables question

oui mais en cherchant l'utilité d'un firewall sous linux j'était tombé sur ce message 

"Un port non bloqué peut potentiellement être un point d'entrée pour l'exploitation d'une faille de la pile TCP/IP du noyau, et cela même si un service n'existe pas. D'où l'utilité d'un firewall pour ne laisser ouvrable que les services qui le nécessitent réellement. À titre d'exemple, je prendrais le célèbre ping of the death qui plantait les machines Windows 9x, Linux, Mac (...) qui n'étaient pas équipées de firewall."

surtout vu que nous allons doucement vers la généralisation de l'ipv6 qui sait quel faille vont apparaitre a ce niveau (oui je dit aller vers car en belgique on est encore en général sous ipv4)

Dernière modification par levy-san (Le 05/09/2014, à 18:04)

Hors ligne

#12 Le 05/09/2014, à 18:05

tiramiseb

Re : Iptables question

l'exploitation d'un faille de la pile TCP/IP du noyau, et cela même si un service n'existe pas

Ouais enfin des failles de la pile TCP/IP du noyau, à ma connaissance ça fait belle lurette qu'il n'y en a pas qui permettent vraiment de poser des gros problèmes. Par ailleurs, le "ping de la mort" était "juste" un déni de service : si plantage il y a de cette manière, il y a toujours moyen de bloquer le port afin que ça ne recommence pas. Et puis c'était il y a plus de 15 ans et la faille a été corrigée, sur Linux, en 2 heures et 35 minutes...

Enfin, c'est à toi de maintenir ton système à jour : les éventuelles failles seront alors promptement corrigées.

Hors ligne

#13 Le 05/09/2014, à 18:11

levy-san

Re : Iptables question

en effet tu m'a convaincu, cenpendant j'ai une question hormis fail2ban que dois-je mettre dans iptables pour contrer le ddos ?

Dernière modification par levy-san (Le 05/09/2014, à 18:11)

Hors ligne

#14 Le 05/09/2014, à 19:59

tiramiseb

Re : Iptables question

Bah là par contre, je ne serais pas de très bon conseil...

Fail2ban je ne l'utilise pas, je n'y vois pas grand intérêt quand on ne le configure pas soi-même aux petits oignons.
Et je ne mets rien de spécial pour les DDoS : je n'ai jamais été confronté à cette situation sur les infrastructures clients et pour les serveurs dédiés sur Internet, je m'appuie sur l'anti-DDoS fourni par défaut par OVH...

Sur les serveurs que je mets en place, je ne mets simplement rien de spécial, aucune configuration de pare-feu, aucune commande iptables.

Hors ligne

#15 Le 05/09/2014, à 20:20

fruitsecrases

Re : Iptables question

levy-san a écrit :

en effet tu m'a convaincu, cenpendant j'ai une question hormis fail2ban que dois-je mettre dans iptables pour contrer le ddos ?

Attention quand on se laisse convaincre par les beaux parleurs sur les forums, ce sont des gens qui n'ont en général pas lu cette page de la Doc d'Ubuntu elle-même, avant de continuer et de choisir de prendre un pare-feu ou pas, il est important que tu lises cette page de la Doc d'Ubuntu sur l'utilité d'un...

...pare-feu...   :  http://doc.ubuntu-fr.org/pare-feu

Pas de soucis pour le pdf, il est là pour ça wink Tu as une adresse mail stp ? @ toute !

Hors ligne

#16 Le 05/09/2014, à 20:40

tiramiseb

Re : Iptables question

Les « beaux parleurs »... huhu smile

Pense ce que tu veux, fruitsecrases, pour ma part j'ai 15 ans d'expérience dans le domaine et j'ai écrit différents articles sur les pare-feux et autres sujets associés (*), de bien meilleure qualité que cette page de wiki que tu cites... oui, car la doc d'Ubuntu-fr est un wiki, éditable par n'importe qui : bien loin d'être une référence, surtout que c'est bien moins strict que Wikipedia concernant les sources, etc. Et cette page-là est assez approximative et bien trop succincte.

Je n'ai rien à prouver. J'étaye clairement ce que j'explique, en termes techniques simples, plutôt que de faire des métaphores hasardeuses sans aucune explication technique. Ensuite vous faites ce que vous voulez de mes explications.

(*) mes articles, entre autres :
- octobre 2007, Linux Pratique HS 11, « comment configurer son firewall ? »
- septembre 2013, GNU/Linux Magazine France HS 68, numéro complet sur les serveurs (dont deux articles « Sécurité et pare-feu » et « UFW, le pare-feu simplifié »)
- mai 2014, Linux Pratique 83, « Shorewall, pour gérer simplement son pare-feu »

Hors ligne

#17 Le 05/09/2014, à 21:00

fruitsecrases

Re : Iptables question

Oui oui bien sûr papi, t'abuses surtout du vin rouge pendant les r'pas big_smile

En plus de la doc d'ubuntu qui préconise l'utilastion d'un pare-feu pour un serveur, il y a le site Openclassroom qui a fait un article en 2013 dessus : http://fr.openclassrooms.com/informatiq … veur-linux

Ca fait déjà deux sites qui savent de quoi ils parlent lol.. Si tu en as besoin d'autres pas de soucis. Je ne peux pas recevoir de message privé via mon profil levy-san, je serais donc obligé de te demander un email (même un email poubelle) à inscrire ici en clair, pour t'envoyer le pdf, qui est très documenté, et accessible car toutes les commandes iptables pour les serveurs y sont expliquées, à plus wink

Dernière modification par fruitsecrases (Le 05/09/2014, à 21:02)

Hors ligne

#18 Le 05/09/2014, à 21:18

tiramiseb

Re : Iptables question

Je ne vais pas recommencer cette conversation que j'ai déjà eue plusieurs fois.
fruitsecrases, tu me fais franchement penser à Pierre Lhabitant, tu as les mêmes certitudes basées sur n'importe quoi et tu ne lis pas les explications étayées que l'on donne...
http://forum.ubuntu-fr.org/viewtopic.php?id=1219611

Et d'une part je n'aime pas trop qu'on m'appelle "papi" à 32 ans, d'autre part je ne bois pas de vin rouge.

Enfin, tu ne fais que montrer des infos qui disent comment configurer un pare-feu, mais aucune qui n'étaye pourquoi.
Et ce n'est pas en multipliant les documentations incomplètes trouvées çà et là que tu contrediras ce que j'ai détaillé.

Vu que tu ne sembles pas capable d'avoir un avis toi-même et d'expliquer des choses provenant de tes propres réflexions, trouve-moi un seul document qui explique et étaye, avec des détails techniques, pourquoi il est absolument nécessaire de mettre en place un pare-feu.
Pour ma part j'ai expliqué pourquoi ce n'est pas nécessaire dans le cas le plus général.

Dernière modification par tiramiseb (Le 05/09/2014, à 21:20)

Hors ligne

#19 Le 05/09/2014, à 21:26

PPdM

Re : Iptables question

fruitsecrases a écrit :

Oui oui bien sûr papi, t'abuses surtout du vin rouge pendant les r'pas big_smile

En plus de la doc d'ubuntu qui préconise utilisation d'un pare-feu pour un serveur, il y a le site Openclassroom qui a fait un article en 2013 dessus : http://fr.openclassrooms.com/informatiq … veur-linux

Ça fait déjà deux sites qui savent de quoi ils parlent lol.. Si tu en as besoin d'autres pas de soucis. Je ne peux pas recevoir de message privé via mon profil levy-san, je serais donc obligé de te demander un email (même un email poubelle) à inscrire ici en clair, pour t'envoyer le pdf, qui est très documenté, et accessible car toutes les commandes iptables pour les serveurs y sont expliquées, à plus wink

Je suis un papy ici, et si Tiramiseb te dit quelque chose, tu peux le croire les yeux fermé !
A bon entendeur salut.
Et un bon conseil, tu as le droit de ne pas etre d'accord, mais dit le sur un autre ton ou tu risque d'avoir quelques soucis avec les modos, je te conseille de lire les règles du forum


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#20 Le 05/09/2014, à 21:51

fruitsecrases

Re : Iptables question

PPdM a écrit :

Je suis un papy ici ...

Ah oui je comprends mieux, c'est le repère des papis ici big_smile

Dis l'ami, tu avoueras que question logique, notre papi tiram' national est un peu à la ramasse non, le gars vient de nous dire au dessus qu'on lui a fait paraître plusieurs articles à gauche à droite dont un cette année dans le "Linux pratique 83", et dans ce dernier il nous parle de quoi ? D'une interface qui gère IPtables (qui se nomme Shorewall !).

Donc le gars est publié pour un super article sur le "pare-feu", donc un super article sur le Firewal Shorewall, c'est nickel, intéressant, étoffé, clair, mais à côté de ça, il dit partout que utiliser un firewall c'est complètement inutile !

Mais alors pourquoi publier d'un côté un article sur les Firewal si de l'autre côté on les dénigre toute l'année mdrrr !!!??? ! Allez comprendre lol... lol

Hors ligne

#21 Le 05/09/2014, à 21:53

tiramiseb

Re : Iptables question

Tu n'as pas lu la moitié du quart de ce que j'ai écrit, dis donc...

tiramiseb, en #10, a écrit :

En préambule, je précise que je ne parle pas de règles de filtrage "sélectives" (genre on n'autorise qu'une seule adresse IP à accéder à un service particulier). Je parle uniquement des règles "tout ou rien", qui sont mises en place dans la majorité des cas.
[...]
L'utilité de Netfiler, c'est :
- soit de bloquer des ports que tu ne peux pas fermer (cas très rare) ;
- soit de faire un filtrage sélectif (mais je parie que ce n'est pas ce que tu envisageais de faire) ;
- soit de faire des redirections de port.

Le troisième cas évoque un pare-feu de réseau configuré sur une passerelle, c'est dans ce cadre que j'ai écrit l'article sur Shorewall par exemple.

D'ailleurs en parallèle de cette même discussion où j'indique qu'un pare-feu est inutile dans ce cas bien précis, je conseille Shorewall à Nolanux qui souhaite mettre en place une passerelle : http://forum.ubuntu-fr.org/viewtopic.php?id=1667161.

Auras-tu le culot de me dire qu'une seule et unique solution (un pare-feu, toujours, partout) s'applique à toutes les configurations de machines que l'on peut trouver sur Internet (poste de travail, serveur, routeur, passerelle, etc) ? Et donc que des approches adaptées à chaque situation, c'est n'importe quoi ?

Hors ligne

#22 Le 05/09/2014, à 22:54

fruitsecrases

Re : Iptables question

Tu ferais un sacré architecte réseau chez Apple, Microsoft ou encore Adobe en les convaincant qu'un pare-feu est comptètement inutile pour leurs serveurs mdr

Hors ligne

#23 Le 06/09/2014, à 05:11

tiramiseb

Re : Iptables question

Tu sais, il y a une sacrée palanquée de serveurs sans pare-feu spécifique chez Bouygues, SFR, SmartBox ou Total (ce sont certains des clients chez qui j'ai travaillé, parmi des dizaines d'autres). Tout simplement car la sécurité ce n'est pas "mettre des pare-feux partout" mais c'est le fruit d'une réflexion globale et intelligente...

Hors ligne

#24 Le 06/09/2014, à 07:24

Pator75

Re : Iptables question

"Partons maintenant sur un serveur de base, sans aucun service. Aucun service, ça veut dire aucun port en écoute. Aucun port en écoute, ça veut dire qu'aucun filtrage ne serait utile : un pare-feu qui bloque un accès à un port qui est de toute manière fermé, ça ne sert à rien."

D'accord sur le principe, mais deux remarques, une tu es le seul sur la toile (ou pas loin) à être de cet avis, deux il me semble bien voir de l'avahi de temps en temps apparaître sous Ubuntu, donc suffisamment longtemps pour qu'un bon hacker puisse en profiter, et comme chacun sait que la sécurité est une combinaison de protections, un pare feu est utile, je dirais surtout sur un serveur.

Vu hier chez Debian un gars se plaindre de s'être fait plomber sans comprendre pourquoi, bien qu'il se déclare attentif, un peu de parano supplémentaire ne fait pas de mal, même si c'est souvent du placebo c'est bon pour le moral, et ça peut servir.

Hors ligne

#25 Le 06/09/2014, à 08:11

fruitsecrases

Re : Iptables question

Ce qui est bien normal, après quand on voit que Mastercard et Visa mettent en place des Cartes Bleues avec technologie NFC (Near Field Communication) et donc à paiement "sans contact", et sans pare-feu, qu'on ne vienne pas s'étonner que le moindre quidam qui se paie un scann de cartes bleues NFC à 40 euros peut obtenir toutes les données necessaires pour les pirater de la façon la plus simple possible, et l'après-midi même se faire des bons petits achats sur le net. Ça me fait penser à ce qui se disait au dessus sur Bouygues, SFR, Smartbox et Total... Et pour faire simple, un système de sécurité qui est présent sur son serveur, ça ne fera toujours pas de mal de le mettre en route "rien qu'en préventif" plutôt que de laisser son dit serveur en mode Openbar.

Dernière modification par fruitsecrases (Le 06/09/2014, à 08:21)

Hors ligne