Pages : 1
#1 Le 22/06/2009, à 00:09
- #hehedotcom\'isback
Pense-bête Iptables
Bloquer tout le trafic réseau Entrant/sortant:
# iptables -F
# iptables -A INPUT -j REJECT
# iptables -A OUTPUT -j REJECT
# iptables -A FORWARD -j REJECT
Bloquer tout le trafic réseau Entrant:
# iptables -F INPUT
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -j REJECT
Bloquer tout le trafic réseau Sortant:
# iptables -F OUTPUT
# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -j REJECT
Bloquer des services ou des ports:
# iptables -A INPUT -p tcp --dport www -j REJECT
# iptables -A INPUT -p tcp -i lo --dport www -j ACCEPT
# iptables -A INPUT -p tcp --dport www -j REJECT
Bloquer un hôte distant:
# iptables -A INPUT -s remote_IP_address -j REJECT
# iptables -A INPUT -p tcp -s remote_IP_address --dport smtp -j REJECT
# iptables -A INPUT -s IP_address_1 [-p protocol --dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_2 [-p protocol --dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_3 [-p protocol --dport service] -j ACCEPT
# iptables -A INPUT [-p protocol --dport service] -j REJECT
# iptables -A OUTPUT -d remote_IP_address -j REJECT
# iptables -A OUTPUT -p tcp -d remote_IP_address --dport www -j REJECT
Blocage sortant des serveurs Web du réseau LAN:
# iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --dport www -j REJECT
Blocage sortant Telnet du réseau LAN:
# iptables -A OUTPUT -p tcp -o lo --dport telnet -j ACCEPT
# iptables -A OUTPUT -p tcp --dport telnet -j REJECT
Blocage distant mais local autorisé sur service désigné en passant par Lo:
# iptables -A INPUT -p tcp -i lo --dport service -j ACCEPT
# iptables -A INPUT -p tcp --dport service -j REJECT
Blocage par controle des adresses MAC:
# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac --mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT
Blocage de tous les accès sauf un SSH:
# iptables -F INPUT
# iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j REJECT
Blocage que d'un service ou port spécifique:
# iptables -A OUTPUT -p tcp --dport telnet -j REJECT
Protéger un serveur simplement:
Autoriser les connexions sur www, ssh, et smtp.
# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m multiport -p tcp --dport www,ssh,smtp -j ACCEPT
# iptables -A INPUT -j LOG -m limit
# iptables -A INPUT -j REJECT
Blocage des requetes ICMP (ping):
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Lister les règles d'Iptables:
# iptables -L
# iptables -L -v
../
Hors ligne
#2 Le 22/06/2009, à 01:18
- xabilon
Re : Pense-bête Iptables
Salut
Pourquoi ne pas mettre un lien vers ce sujet dans la doc iptables?
http://doc.ubuntu-fr.org/iptables
T'es d'accord? Tu le fais ou je m'en occupe?
Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.
Hors ligne
#3 Le 22/06/2009, à 02:06
- #hehedotcom\'isback
Re : Pense-bête Iptables
hello Xabi
J'ai vu que la doc était assez austère sur le sujet, c'est la raison de ce post ici.
C'est un pense-bete, il va me servir de point chute pour des soucis de firewall etc.
Il manque le Forward et IP Masquerade, je comptais vous le signaler pour l'épingler plus tard ou pour revoir la page de doc et comment insérer ce message.
Il faudrait soit restructurer une doc, soit "scénariser" ce message, afin qu'il soit plus accessible que des INPUT DROP sans pour autant devenir une bible d'iptables.
J'y bosse (un peu)
Dernière modification par #hehedotcom\'isback (Le 22/06/2009, à 03:09)
../
Hors ligne
#4 Le 22/06/2009, à 11:10
- xabilon
Re : Pense-bête Iptables
Ok. Toujours content que des gens compétents participent à enrichir le site
Fais-nous signe pour l'épinglage
Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.
Hors ligne
#5 Le 22/06/2009, à 11:13
- #hehedotcom\'isback
Re : Pense-bête Iptables
Ok. Entre deux floods, je devrai peaufiner ça rapidement.
Il faudrait que je me fasse un synopsis et que je m'y tienne. Mes documentations sont assez bordéliques généralement ^^ (ca part dans tous les sens)
Brouillon
De Wikinotes.
Rubrique | Applications Serveurs et Réseaux
Brouillon/beta
En cours de réalisation. Relecture non-faiteSommaire
* 1 Firewalling avec IPtables
o 1.1 Tables et Policy
+ 1.1.1 Table Filter
# 1.1.1.1 Les chaines Filter
+ 1.1.2 Table Nat
# 1.1.2.1 Les chaines Nat
+ 1.1.3 Table Mangle
# 1.1.3.1 Les chaines Mangle
+ 1.1.4 Table Raw
# 1.1.4.1 Les chaines Raw
o 1.2 Les Cibles
Tout compte fait, il n'est pas si évident de simplifier une doc "iptables". Je suis en train de me documenter, iptables permet un filtrage très fin. Mais cela nécessite d'être documenté, et à trop documenter, je risque de noyer le lecteur.
Je posterai au fur et à mesure mes brouillons (je n'y travaille pas tous les jours), si vous pouviez me corriger, fautes, conneries techniques ou de C/C; ce serait cool.)
Dernière modification par #hehedotcom\'isback (Le 23/06/2009, à 03:18)
../
Hors ligne
#6 Le 07/07/2009, à 23:53
- #hehedotcom\'isback
Re : Pense-bête Iptables
Script d'exemple définissant quelques règles:
#!/bin/sh
#SCRIPT_POUR_FIREWALL_IPTABLES
################################################################################
#MKL
# Révision 07.07.2009
################################################################################
echo "Activation du Firewall [En cours...]
"
### 00 # INITIALISATION DU SCRIPT.
# Initialisation des variables interfaces.
echo " [Initialisation Fw [En cours...]]"
export EXT_0="eth0"
export EXT_1="eth1"
export EXT_3="wlan0"
# Initialisation des variables "LAN".
export LAN0="127.0.0.1"
export LAN1="192.168.0.0/24"
export LAN2="192.168.1.0/24"
export LAN3="192.168.2.0/24"
export LAN4="10.0.5.0/24"
echo " [Initialisation Fw [OK]]"
### 01 # INITIALISATION DE NETFILTER.
# On efface toutes les chaines existantes de la table "filter" et des tables "Mangle" & "Nat".
echo " [Initialisation Nf [En cours...]]"
sudo iptables -t filter -F
sudo iptables -t filter -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
echo " [Initialisation Nf [OK]]"
### 02 # ÉTABLIR UNE POLITIQUE SÉCURITAIRE PAR DÉFAUT.
# Le poste refusera toutes les connexions quelque soit sa provenance.
echo " [Initialisation des chaines Fw [En cours...]]"
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
# À partir d'ici, il nous est indispensable d'ouvrir les flux requis.
# Tout ce qui ne sera pas explicitement défini dans les règles suivantes, sera
# simplement "droppé" sans états d'âme ni retour d'information pour l'émetteur.
### 03 # ÉTABLIR UNE CONNEXION SUR LUI-MÊME (loopback)
# On autorise les connexions sur la boucle locale.
# (Indispensable pour le bon fonctionnement du sytème {lo = 127.0.0.1}).
echo " [Initialisation Looback [OK]]"
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A FORWARD -i lo -j ACCEPT
sudo iptables -A FORWARD -o lo -j ACCEPT
### 04 # FILTRER LES POSTES et SERVICES DES RÉSEAUX LOCAUX ($LAN)
# Enregistrer les connexions.
echo " [Initialisation du fichier log [En cours...]]"
# On enregistre tous les paquets dropés de la table filter par Netfilter.
sudo iptables -t filter -N LOG_DROP
sudo iptables -t filter -A LOG_DROP -j LOG --log-level 1 --log-prefix '[IPTABLES FILTER-DROP] : '
sudo iptables -t filter -A LOG_DROP -j DROP
sudo iptables -t filter -N LAN1_LOG_REJECT
sudo iptables -t filter -A LAN1_LOG_REJECT -s "$LAN1" -j LOG --log-level 1 --log-prefix '[IPTABLES LAN1-REJECT] : '
sudo iptables -t filter -A LAN1_LOG_REJECT -s "$LAN1" -j REJECT
echo " [Enregistrer LAN1 [OK]]"
sudo iptables -t filter -N LAN2_LOG_REJECT
sudo iptables -t filter -A LAN2_LOG_REJECT -s "$LAN2" -j LOG --log-level 1 --log-prefix '[IPTABLES LAN2-REJECT] : '
sudo iptables -t filter -A LAN2_LOG_REJECT -s "$LAN2" -j REJECT
echo " [Enregistrer LAN2 [OK]]"
sudo iptables -t filter -N LAN3_LOG_REJECT
sudo iptables -t filter -A LAN3_LOG_REJECT -s "$LAN3" -j LOG --log-level 1 --log-prefix '[IPTABLES LAN3-REJECT] : '
sudo iptables -t filter -A LAN3_LOG_REJECT -s "$LAN3" -j REJECT
echo " [Enregistrer LAN3 [OK]]"
sudo iptables -t filter -N LAN4_LOG_REJECT
sudo iptables -t filter -A LAN4_LOG_REJECT -s "$LAN4" -j LOG --log-level 1 --log-prefix '[IPTABLES LAN4-REJECT] : '
sudo iptables -t filter -A LAN4_LOG_REJECT -s "$LAN4" -j REJECT
echo " [Enregistrer LAN4 [OK]]"
echo " [Journaux log [OK]]"
# On active le passage des flux à partir des quatres LAN.
echo " [Initialisation des réseaux locaux [En cours...]]"
sudo iptables -A INPUT -s "$LAN1" -j ACCEPT
sudo iptables -A OUTPUT -d "$LAN1" -j ACCEPT
sudo iptables -A INPUT -s "$LAN2" -j ACCEPT
sudo iptables -A OUTPUT -d "$LAN2" -j ACCEPT
sudo iptables -A INPUT -s "$LAN3" -j ACCEPT
sudo iptables -A OUTPUT -d "$LAN3" -j ACCEPT
sudo iptables -A INPUT -s "$LAN4" -j ACCEPT
sudo iptables -A OUTPUT -d "$LAN4" -j ACCEPT
# On active la translation d'Ip et le port forwarding.
echo " [Initialisation du partage de connexion]"
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
# On souhaite interdire l'accès d'un poste // service sur le réseau// range d'ip)
echo " [Initialisation Accès du LAN [En cours...]]"
echo " [10.0.5.104 -j REJECT]"
sudo iptables -t filter -A INPUT -s 10.0.5.104 -j REJECT
echo " [192.168.2.4 --dport smtp -j REJECT]"
sudo iptables -t filter -A INPUT -p tcp -s 192.168.2.4 --dport smtp -j REJECT
echo " [192.168.0/16 --dport 22 -j REJECT]"
sudo iptables -t filter -A INPUT -p tcp -s 192.168.0/16 --dport 22 -j REJECT
echo " [range 192.168.1.13-192.168.2.19 -j REJECT]"
sudo iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.13-192.168.2.19 -j REJECT
# On refuse l'entrée d'un port vers un poste particulier
echo " [OUTPUT -d 192.168.1.12 --dport www -j REJECT]"
sudo iptables -t filter -A OUTPUT -p tcp -d 192.168.1.12 --dport www -j REJECT
echo " [OUTPUT -d 192.168.1.12 --dport ssh -j REJECT]"
sudo iptables -t filter -A OUTPUT -p tcp -d 192.168.1.12 --dport ssh -j REJECT
echo " [OUTPUT -d 192.168.1.12 --dport 21 -j REJECT]"
sudo iptables -t filter -A OUTPUT -p tcp -d 192.168.1.12 --dport 21 -j REJECT
# On refuse la sortie d'un poste particulier
echo " [OUTPUT -s 192.168.27.14 -j DROP]"
sudo iptables -t filter -A OUTPUT -s 192.168.27.14 -j DROP
sudo iptables -t filter -A INPUT -s 192.168.27.14/239.255.255.250 -j DROP
echo " [OUTPUT -s 192.168.27.14 -j DROP]"
sudo iptables -A INPUT -i "$EXT_3" -p TCP -s 192.168.27.14/239.255.255.250 --dport 1900 -j DROP # Port 1900 SSDP (Flood freebox)
### 05 # AUTORISER LES CONNEXIONS SELON L'INTERFACE ET LE PORT
# EXT_3 = WLAN0
## REQUETES EN DESTINATION DE WLAN0
sudo iptables -A INPUT -i "$EXT_3" -p UDP --dport 3128 -j ACCEPT # Port 3128 (ProxySquid)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 3128 -j ACCEPT # Port 3128 (ProxySquid)
sudo iptables -A INPUT -i "$EXT_3" -p UDP --dport 123 -j ACCEPT # Port 123 (Time ntp udp)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 123 -j ACCEPT # Port 123 (Time ntp tcp)
sudo iptables -A INPUT -i "$EXT_3" -p UDP --dport domain -j ACCEPT # Port 53 (DNS)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport domain -j ACCEPT # Port 53 (DNS)
sudo iptables -A INPUT -i "$EXT_3" -p UDP --dport 953 -j ACCEPT # Port 953 (DNS)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 953 -j ACCEPT # Port 953 (DNS)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport http -j ACCEPT # Port 80 (Http)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport https -j ACCEPT # Port 443 (Https)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 143 -j ACCEPT # Port 143 (imap)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport pop3 -j ACCEPT # Port 110 (Pop3)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 993 -j ACCEPT # Port 993 (auth.SSL)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 995 -j ACCEPT # Port 995 (auth.SSL)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport smtp -j ACCEPT # Port 25 (Smtp)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport ftp -j ACCEPT # Port 21 (Ftp)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 22 -j REJECT # Port #2222 (Ssh)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 2222 -j ACCEPT # Port #2222 (Ssh)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 10000 -j ACCEPT # Port 10000 (webmin)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 445 -j ACCEPT # Port 445 (Samba)
sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 139 -j ACCEPT # Port 139 (Samba)
sudo iptables -A INPUT -i "$EXT_3" -p UDP --dport 137:138 -j ACCEPT # Port 137 a 138 (Samba)
#sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport nntp -j ACCEPT # Port 119 (News groups)
#sudo iptables -A INPUT -i "$EXT_3" -p TCP --dport 1863 -j ACCEPT # Port 1863 (Msn messenger)
### 05 # AUTORISER LES CONNEXIONS SELON L'INTERFACE ET LE PORT
# EXT_3 = WLAN0
## REQUETES DONT WLAN0 EST L'EMETTEUR
sudo iptables -A OUTPUT -o "$EXT_3" -p UDP --dport 3128 -j ACCEPT # Port 3128 (ProxySquid)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 3128 -j ACCEPT # Port 3128 (ProxySquid)
sudo iptables -A OUTPUT -o "$EXT_3" -p UDP --dport 123 -j ACCEPT # Port 123 (Time ntp udp)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 123 -j ACCEPT # Port 123 (Time ntp tcp)
sudo iptables -A OUTPUT -o "$EXT_3" -p UDP --dport domain -j ACCEPT # Port 53 (DNS)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport domain -j ACCEPT # Port 53 (DNS)
sudo iptables -A OUTPUT -o "$EXT_3" -p UDP --dport 953 -j ACCEPT # Port 953 (DNS)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 953 -j ACCEPT # Port 953 (DNS)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport http -j ACCEPT # Port 80 (Http)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport https -j ACCEPT # Port 443 (Https)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 143 -j ACCEPT # Port 143 (imap)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport pop3 -j ACCEPT # Port 110 (Pop3)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 993 -j ACCEPT # Port 993 (auth.SSL)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 995 -j ACCEPT # Port 995 (auth.SSL)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport smtp -j ACCEPT # Port 25 (Smtp)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport ftp -j ACCEPT # Port 21 (Ftp)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 22 -j REJECT # Port #2222 (Ssh)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 2222 -j ACCEPT # Port #2222 (Ssh)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 10000 -j ACCEPT # Port 10000 (webmin)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 445 -j ACCEPT # Port 445 (Samba)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 139 -j ACCEPT # Port 139 (Samba)
sudo iptables -A OUTPUT -o "$EXT_3" -p UDP --dport 137:138 -j ACCEPT # Port 137 a 138 (Samba)
sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport nntp -j ACCEPT # Port 119 (News groups)
#sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 1863 -j ACCEPT # Port 1863 (Msn messenger)
#sudo iptables -A OUTPUT -o "$EXT_3" -p TCP --dport 5222 -j ACCEPT # Port 1863 (Msn Pidgin)
## Maintenir les flux établis
# On autorise les connexions relatives à une autre.
sudo iptables -A OUTPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
#On autorise le PC a faire des ping sur des IP exterieur
sudo iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Si 3 connexions SSH en 1 minute -> drop
sudo iptables -I INPUT -p tcp --dport 2222 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
echo " [Traitenement Flood]"
sudo iptables -N udp-flood
sudo iptables -A INPUT -i eth0 -p udp -j udp-flood
sudo iptables -A udp-flood -m limit --limit 1/s --limit-burst 5 -j RETURN
sudo iptables -A udp-flood -m limit --limit 1/s -j LOG --log-level 1 --log-prefix '[UDP FLOOD max rate !] : '
sudo iptables -A udp-flood -j DROP
sudo iptables -A INPUT -p udp -m limit --limit 3/m --limit-burst 5 -j LOG --log-level 1 --log-prefix 'Denied UDP port: '
sudo iptables -A INPUT -p udp -j DROP
sudo iptables -A INPUT -i "$EXT_3" -p tcp --syn -m limit --limit 3/s -j ACCEPT
sudo iptables -A INPUT -i "$EXT_3" -p udp -m limit --limit 10/s -j ACCEPT
sudo iptables -A INPUT -i "$EXT_3" -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
sudo iptables -A INPUT -i "$EXT_3" -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
# Protections à partir de la pile.
sudo echo 1 > /proc/sys/net/ipv4/tcp_syncookies
sudo echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
sudo echo 1 >/proc/sys/net/ipv4/conf/all/log_martians
sudo echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
sudo echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
sudo echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
sudo echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
sudo echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sudo echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo " [Traitenement Flood [OK]]"
# On peut aller plus finement en gérant le type de réponse icmp.
#iptables -A INPUT -i $IF_RESEAU -p icmp --icmp-type destination-unreachable -j DROP
#iptables -A INPUT -i $IF_RESEAU -p icmp --icmp-type echo-reply -j DROP
#iptables -A INPUT -i $IF_RESEAU -p icmp --icmp-type echo-request -j DROP
#iptables -A INPUT -i $IF_RESEAU -p icmp --icmp-type time-exceeded -j DROP
#iptables -A INPUT -i $IF_RESEAU -p icmp --icmp-type source-quench -j DROP
# Chargement du module de gestion des connexion state (autorisation des connexions deja etablies a passer le firewall)
#sudo modprobe ip_conntrack
# Chargement du module special pour palier au probleme de connexion FTP passive
#sudo modprobe ip_conntrack_ftp
#on quitte le script
exit
Dernière modification par #hehedotcom\'isback (Le 08/07/2009, à 20:35)
../
Hors ligne
#7 Le 07/07/2009, à 23:58
- ilcorseronero
Re : Pense-bête Iptables
je savais que t'étais un malade
en plus tu sympathises avec xab
Dernière modification par ilcorseronero (Le 08/07/2009, à 00:05)
Hors ligne
#8 Le 08/07/2009, à 00:02
- #hehedotcom\'isback
Re : Pense-bête Iptables
Je me suis dit que j'aurai peut etre un mug ubuntu gratis
Mais bon, je ne me fais pas d'illusion...Ubuntu c'est pour les radins ^^
../
Hors ligne
#9 Le 08/07/2009, à 00:05
- ilcorseronero
Re : Pense-bête Iptables
je vais pourrir ton topic , il va l'épinglé plutôt que prévu !!
Il faut un dictionnaire avec ton script
Dernière modification par ilcorseronero (Le 08/07/2009, à 00:28)
Hors ligne
#10 Le 08/07/2009, à 00:09
- #hehedotcom\'isback
Re : Pense-bête Iptables
Le retour du script
sudo iptables -L -n -v && sudo iptables -t mangle -L && sudo iptables -t nat -L && sudo ip6tables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 state NEW recent: UPDATE seconds: 60 hit_count: 3 name: DEFAULT side: source
0 0 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 state NEW recent: SET name: DEFAULT side: source
200 139K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3 252 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.2.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 10.0.5.0/24 0.0.0.0/0
0 0 REJECT all -- * * 10.0.5.104 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 192.168.2.4 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 192.168.0.0/16 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3128
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:123
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:953
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:953
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 REJECT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138
93 91060 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 udp-flood udp -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 1 prefix `Denied UDP port: '
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 3/sec burst 5
0 0 ACCEPT udp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/sec burst 5
0 0 ACCEPT icmp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- wlan0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
200 139K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
3 252 ACCEPT all -- * * 0.0.0.0/0 192.168.0.0/24
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.1.0/24
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.2.0/24
0 0 ACCEPT all -- * * 0.0.0.0/0 10.0.5.0/24
0 0 REJECT tcp -- * * 0.0.0.0/0 192.168.1.12 tcp dpt:80 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 192.168.1.12 tcp dpt:22 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 192.168.1.12 tcp dpt:21 reject-with icmp-port-unreachable
0 0 DROP all -- * * 192.168.1.12 0.0.0.0/0
0 0 ACCEPT udp -- * wlan0 0.0.0.0/0 0.0.0.0/0 udp dpt:3128
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT udp -- * wlan0 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:123
11 932 ACCEPT udp -- * wlan0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * wlan0 0.0.0.0/0 0.0.0.0/0 udp dpt:953
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:953
82 23701 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 REJECT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 ACCEPT udp -- * wlan0 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138
0 0 ACCEPT tcp -- * wlan0 0.0.0.0/0 0.0.0.0/0 tcp dpt:119
1 523 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
Chain LAN1_LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 192.168.0.0/24 0.0.0.0/0 LOG flags 0 level 1 prefix `[IPTABLES LAN1-REJECT] : '
0 0 REJECT all -- * * 192.168.0.0/24 0.0.0.0/0 reject-with icmp-port-unreachable
Chain LAN2_LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 192.168.1.0/24 0.0.0.0/0 LOG flags 0 level 1 prefix `[IPTABLES LAN2-REJECT] : '
0 0 REJECT all -- * * 192.168.1.0/24 0.0.0.0/0 reject-with icmp-port-unreachable
Chain LAN3_LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 192.168.2.0/24 0.0.0.0/0 LOG flags 0 level 1 prefix `[IPTABLES LAN3-REJECT] : '
0 0 REJECT all -- * * 192.168.2.0/24 0.0.0.0/0 reject-with icmp-port-unreachable
Chain LAN4_LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 10.0.5.0/24 0.0.0.0/0 LOG flags 0 level 1 prefix `[IPTABLES LAN4-REJECT] : '
0 0 REJECT all -- * * 10.0.5.0/24 0.0.0.0/0 reject-with icmp-port-unreachable
Chain LOG_DROP (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 1 prefix `[IPTABLES FILTER-DROP] : '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain udp-flood (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 0 level 1 prefix `[UDP FLOOD max rate !] : '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 6 packets, 384 bytes)
pkts bytes target prot opt in out source destination
mike@hp-linux:~$
../
Hors ligne
#11 Le 08/07/2009, à 00:11
- #hehedotcom\'isback
Re : Pense-bête Iptables
je vais pourrir ton topic , il va l'épinglé plus tôt que prévu !!
Il faut un dictionnaire avec ton script
Tu vois, inutile de le pourrir, je m'en charge très bien tout seul
C'est en W$ Yurek edition pro
../
Hors ligne
#12 Le 08/07/2009, à 00:29
- ilcorseronero
Re : Pense-bête Iptables
mmmhh il y a trop d'ACCEPT dans ce script
Hors ligne
#13 Le 08/07/2009, à 00:33
- #hehedotcom\'isback
Re : Pense-bête Iptables
y'a quand meme plusieurs services
proxu, dns, mail, http, ftp etc...
Et si pas d'ACCEPT, pas de NET
../
Hors ligne
#14 Le 08/07/2009, à 00:34
- ilcorseronero
Re : Pense-bête Iptables
regarde le message que gogole m'a envoyé depuis un compte gmail
même pas ubuntu-fr, donc ce mail pour moi est caduque
Salut,
> le forum Ubuntu étant un forum d'entraide, on a décidé de recentrer la
> modération, à savoir que les règlements de comptes personnels et les
> hors-sujets dans les rubriques d'aide seraient systématiquement
> supprimés.
> Le débutant qui vient sur le forum n'a pas forcément envie d'être
> confronté aux bisbilles des habitués et de devoir faire le tri entre
> du troll et ce qui le concerne.
>
> Quant aux décisions de modération, elles sont toujours prises par
> plusieurs modérateurs, au moins trois en l'occurrence pour cette fois.
>
> Ce message fait office d'avertissement.
il est modo et m'envoie un mail de gmail
rien avoir avec effraie et mr-prouit
Dernière modification par ilcorseronero (Le 08/07/2009, à 00:36)
Hors ligne
#15 Le 08/07/2009, à 00:38
- #hehedotcom\'isback
Re : Pense-bête Iptables
Je comprends mieux le mail que j'ai recu, je me demandais ce que tu voulais me faire comprendre.
Bah elle est encore rookie ^^
Souvient toi, elle pisse debout
../
Hors ligne
#16 Le 08/07/2009, à 00:41
- ilcorseronero
Re : Pense-bête Iptables
Je comprends mieux le mail que j'ai recu, je me demandais ce que tu voulais me faire comprendre.
juste avertir le maître
Hors ligne
#17 Le 08/07/2009, à 00:44
- #hehedotcom\'isback
Re : Pense-bête Iptables
Le maitre n'est plus ce qu'il était, il s'est fait rattraper par la sagesse
../
Hors ligne
#18 Le 08/07/2009, à 00:52
- ilcorseronero
Re : Pense-bête Iptables
pense très fort à Athena, ça va revenir
Hors ligne
#19 Le 08/07/2009, à 00:54
- #hehedotcom\'isback
Re : Pense-bête Iptables
tttiiiirrlouuuiii ^^
Ca me fait rappeler quand yann a débarqué en demandant qui était ce parmi nous, qui s'amusait à cela
../
Hors ligne
#20 Le 08/07/2009, à 00:58
- ilcorseronero
Re : Pense-bête Iptables
certainement toi
Hors ligne
Pages : 1