Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 28/07/2016, à 13:50

rom1725

[CONTOURNÉ] Debian : les règles iptables disparaissent

Bonjour,

Avec des amis nous avons pris un vps OVH pour héberger divers projets personnels. Mais lorsque nous configurons iptables, les règles disparaissent systématiquement au bout de très peu de temps... (un iptables -L renvoie une config vierge, sans redémarrage entre temps).
Plusieurs tentatives avec des scripts différents ont été tentées, la dernière en date se basant sur http://www.alsacreations.com/tuto/li...-iptables.html.

Voici le script :

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

#regle specifique a OVH
iptables -A OUTPUT -p tcp --dport **** -m state --state NEW,ESTABLISHED -j ACCEPT

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In out
iptables -t filter -A INPUT -p tcp --dport ****j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport ****j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p udp --dport **** -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport **** -j ACCEPT

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT


# Mail SMTP:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT

# Mail POP3:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT

# Mail IMAP:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT

# Mail POP3S:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT

Dernière modification par rom1725 (Le 03/08/2016, à 14:17)

Hors ligne

#2 Le 28/07/2016, à 15:00

jlmas

Re : [CONTOURNÉ] Debian : les règles iptables disparaissent

On ne fait plus de scripts iptables depuis pfou... longtemps smile
Si on reste dans le classique, sans firewalld, sans surcouche ufw que je ne connais pas du tout

sudo aptitude install iptables-persistent

Il faut mettre les règles iptables dans /etc/iptables/rules.v4 pour les règles IPv4 et /etc/iptables/rules.v6 pour les règles IPv6

Par exemple /etc/iptables/rules.v4

# Generated by iptables-save v1.4.21 on Fri Jul 22 14:14:22 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:835]
-A INPUT -p icmp -m comment --comment "000 accept all icmp" -j ACCEPT
-A INPUT -i lo -m comment --comment "005 accept all to lo interface" -j ACCEPT
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -m comment --comment "100 allow ssh" -m state --state NEW -j ACCEPT
-A INPUT -m comment --comment "998 drop all" -j DROP
-A OUTPUT -o lo -m comment --comment "020 accept all to lo interface" -j ACCEPT
COMMIT

puis

sudo service iptables-persistent restart

Hors ligne

#3 Le 28/07/2016, à 15:08

donut

Re : [CONTOURNÉ] Debian : les règles iptables disparaissent

A mon avis votre serveur reboote tout seul, ce qui explique le flush des règles iptables hmm

J'aime bien ufw que je trouve assez simple pour une configuration de base (filtrage de l'entrant uniquement), ça donnerait ça :

ufw allow ssh
ufw allow dns
ufw allow http
ufw allow https
ufw allow smtp
ufw allow pop3
ufw allow pop3s
ufw allow imap
ufw enable
ufw status

Et bien sûr elles sont persistantes au reboot

Dernière modification par donut (Le 28/07/2016, à 15:09)


https://utux.fr (blog perso)

Hors ligne

#4 Le 28/07/2016, à 15:37

grandtoubab

Re : [CONTOURNÉ] Debian : les règles iptables disparaissent

donut a écrit :

A mon avis votre serveur reboote tout seul, ce qui explique le flush des règles iptables hmm

J'aime bien ufw que je trouve assez simple pour une configuration de base (filtrage de l'entrant uniquement), ça donnerait ça :

ufw allow ssh
ufw allow dns
ufw allow http
ufw allow https
ufw allow smtp
ufw allow pop3
ufw allow pop3s
ufw allow imap
ufw enable
ufw status

Et bien sûr elles sont persistantes au reboot

je dirai même plus, j'aime encore mieux son interface graphique gufw big_smile lol
1469716565.png


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#5 Le 31/07/2016, à 09:09

rom1725

Re : [CONTOURNÉ] Debian : les règles iptables disparaissent

Bonjour à tous, et merci pour vos réponses.
Comme nous n'avions pas fait grand chose dessus nous avons carrément décidé de le remettre à zéro, de faire table rase.
À partir de là nous avons commencé par mettre en place les règles iptables, avant de faire quoi que ce soit d'autre, et maintenant elles tiennent, même en cas de connexion d'un autre utilisateur que celui qui les a mises en place.
La seule explication logique qui nous vient est qu'on aurait été piratés...

Hors ligne