Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 21/11/2011, à 13:51

mangue

Question Regles iptables input et output

Bonjour,

Je suis en train de preparer mes regles iptables pour un serveur distant et je me posais une question.
Si les regles suivantes sont appliquees, et que les INPUT OUTPUT et FORWARD sont en DROP par defaut :

iptables -A INPUT -p tcp --dport ssh -j accept
iptables -i lo -j accept
iptables -m state --state ESTABLISHED,RELATED -j ACCEPT


Est ce que le SSH sera bloque du serveur vers mon pc, ou est-ce que la regle sur les connections etablies fera que le SSH pourra sortir ?

D'avance merci.

Mangue

PS : Desole pour les accents, je suis sur clavier US.


ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.

Hors ligne

#2 Le 24/11/2011, à 10:55

melinameline

Re : Question Regles iptables input et output

Bonjour mangue,

je ne maitrise pas bien les iptables, mais je crois que tant que la regle de output n'est pas mensionnée cela veut dire que le ssh est bloqué de ton serveur vers ton pc,
la regle sur les connections etablies s'applique sur les paqués accepté, il me semble.

bonne chance

Hors ligne

#3 Le 24/11/2011, à 11:56

mangue

Re : Question Regles iptables input et output

Merci a toi pour cette reponse !

Dans le doute j'ai mis en place, et ca a l'air de fonctionner.


ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.

Hors ligne

#4 Le 24/11/2011, à 13:10

NooP

Re : Question Regles iptables input et output

Bonjour.

Effectivement, si tu n'as pas de règle 'OUTPUT', alors tu ne peux établir une nouvelle 'NEW' connexion sortante.
Dans le cas que tu montres, ton PC est autorisé à se connecter à ton SERVEUR, mais pas l'inverse.

Par contre, il faut savoir que netfilter traite les règles dans l'ordre où elles lui sont données. Dans le cas que tu donnes, à chaque paquet ESTABLISHED où RELATED qui passe par netfilter, celui teste d'abord si il correspond à ta règle SSH.

La bonne méthode est :

1) Configurer la politique de filtrage (iptables -P INPUT DROP)
2) Placer ensuite les règles 'lo', puisque ce sont des règles internes au noyau, cela fera gagner du temps en ne scannant pas toutes les règles.
3) Puis placer les règles 'ESTABLISHED,RELATED' en troisième.
4) Et enfin placer les règles pour les connexions 'NEW', donc ta règle autorisant SSH.


[1789] Pour faire fermer sa gueule au peuple, on lui coupe la tête.
[2010] Pour faire fermer sa gueule au peuple, on lui coupe le net.

Si l'ACTAruse, c'est pour que GOLDOraque.

Hors ligne

#5 Le 24/11/2011, à 15:20

melinameline

Re : Question Regles iptables input et output

tu peux voir de ce côté
tu trouvra un petit exemple assais interessant à la premiere reponce.

bonne chance

Hors ligne

#6 Le 26/11/2011, à 19:20

mangue

Re : Question Regles iptables input et output

Bon j'ai vérifier, je n'avais pas activer le OUTPUT et le FORWARD en drop, et manifestement, j'ai bien fait.
Je vais donc configurer mes régles OUTPUT en même temps

Merci pour vos réponses !


ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.

Hors ligne

#7 Le 01/12/2011, à 14:02

mangue

Re : Question Regles iptables input et output

Ok donc j'ai plante mon serveur a cause d'un iptables -F en ssh sad

Ensuite j'ai reconfigure mes regles iptables de facon a pouvoir passer mon OUTPUT en Drop, j'ai donc ajoute

iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT

et j'ai ensuite passe le FORWARD en DROP. Tout fonctionne je n'ai pas de soucis.
Par contre une question me taraude l'esprit, si j'avais fait :

iptables -A OUTPUT -p tcp --[b]dport[/b] ssh -j ACCEPT

Quelle difference cela aurait fait d'apres vous ?


ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.

Hors ligne

#8 Le 04/12/2011, à 12:00

NooP

Re : Question Regles iptables input et output

Attention !

Le 'SOURCE PORT' est rarement à utiliser. La majorité des applications réseau créent un port source aléatoire > 1024. Les règles de filtrage s'appliquent TOUJOURS* sur le 'DESTINATION PORT'.

* Excepté quelques très rares cas ou tu auras besoin de travailler avec le port source


[1789] Pour faire fermer sa gueule au peuple, on lui coupe la tête.
[2010] Pour faire fermer sa gueule au peuple, on lui coupe le net.

Si l'ACTAruse, c'est pour que GOLDOraque.

Hors ligne

#9 Le 07/12/2011, à 05:39

mangue

Re : Question Regles iptables input et output

Merci Noop, et a tous pour vos reponses !


ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.

Hors ligne

Haut de page ↑