#1 Le 25/01/2014, à 14:21
- compte supprimé
[Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Pour ne pas tout lire la solution est donnée ici et là un lien explicatif sur certains points que l'on peut trouver dans la solution ; http://formation-debian.via.ecp.fr/firewall.html
Hello,
j'ai trouvé cette adresse internet donnant une ligne de commande Iptables pour bloquer une adresse entrante :
http://aide.sivit.fr/index.php?2007/04/ … ndesirable
Il y est dit de taper ceci (dans le cas d'une seule adresse et si notre adresse à bloquer serait 82.103.254.1) :
iptables -A INPUT -s 82.103.254.1 -j DROP
En faisant comme cela avec plusieurs adresse IP j'ai vu que ces nouveaux ordres donnés à iptables allaient directement dans la ligne
Chain INTPUT (policy DROP)
Si je comprends bien j'ai fait cela inutilement car de toutes façons cette chaîne avait déjà une politique réglée sur DROP ?
Merci à vous.
Je cherche donc aussi à paramétrer IPTABLES et a lui indiquer que je veux qu'il surveille des ports, je cherche à donner une certaine politique à un port du PC (DROP ou ACCEPT ou REJECT par exemple). Merci :-)
Dernière modification par -pascal34- (Le 01/02/2014, à 11:04)
#2 Le 25/01/2014, à 14:39
- Zakhar
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Confirmé !
Tu es sur quelle version. Parce qu'en 12.04LTS, la politique par défaut sur INPUT est ACCEPT.
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#3 Le 25/01/2014, à 17:47
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Merci Zakhar ! Oui j'ai bien la 12.04 ;-)
J'ai toujours pas trouvé la commande pour que lorsque je surf sur une adresse IP précise, celle-ci soit bloquée par IPtables. J'essaie de bloquer un site, mais je n'y arrive pas, c'est complexe IPtables. Si quelqu'un a des infos je suis preneur, bonne soirée.
#4 Le 25/01/2014, à 19:50
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
J'ai testé diverses choses, pour l'instant rien ne fonctionne, snif :-(
Dernière modification par -pascal34- (Le 25/01/2014, à 19:50)
#5 Le 26/01/2014, à 00:34
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
J'abandonne, ça fonctionne bien comme ça, IPTABLES est très complexe.
#6 Le 26/01/2014, à 07:53
- Pierre Lhabitant
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
J'abandonne, ça fonctionne bien comme ça, IPTABLES est très complexe.
L'IP c'est les télécoms de Finlande, tu as été sur un site et ils te renvoient une connexion aussi sec, histoire de voir peut être si tu as un nom de domaine, normalement un bon pare feu bloque.
Moi aussi j'ai déjà remarqué que changer ACCEPT en DROP ne donne pas de résultat, problème de syntaxe quand même un trop rigide, pas vivable ce truc.
Hors ligne
#7 Le 26/01/2014, à 11:00
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Je suis tombé là dessus hier, ils disent que le pare-feu comme il est paramétré d'origine est beaucoup plus sûr que si on utilise un politique de dROP à tous les niveaux. Genre tu laisses ces trois filtres en ACCEPT et tu DROP ce qui t'embête :
FROWARD
INPUT
OUTPUT
Le lien sur iptables : https://www.frozentux.net/iptables-tuto … /x511.html
Et son origine : https://www.frozentux.net/iptables-tuto … book1.html
(donc au premier lien juste au dessus on pourrait comprendre que le pare-feu IPTABLES est plus facile à configurer si ces réglages sont d'origines (toutes les Policy en ACCEPT sur FORWARD, INPUT, et OUTPUT) et pour par exemple bloquer une IP, ma ligne aurait mieux fonctionné hier, cette ligne là : iptables -A INPUT -s 82.103.254.1 -j DROP
Après il dit que ça va être du travail pour tout configurer si on met toutes les Policy en DROP et que l'on règle nos "chaînes" au cas par cas. Mais je n'ai pas compris exactement le mode d'emploi, trop de choses à lire sur ces pages, et pas d'exemple concret, c'est dommage. Je viens de voir qu'il dit aussi ça dans son article :
Ce peut être également une bonne idée d'appliquer des mesures de sécurité en couche, ce dont nous avons discuté plus haut. Ce qui veut dire, que vous pourriez utiliser plusieurs mesures de sécurité en même temps, et pas sur un seul concept de sécurité.
Cela m'aurait intéressé d'en savoir plus, je n'ai pas d’exemple, je ne peux pas comprendre comment faire, hier j'ai tenté 50 000 lignes de commandes que j'ai indiqué à IPTABLES, mais absolument aucune n'a fonctionné ! J’interdisais un site internet et que j'allais voir dans Firefox si je pouvais y accéder, je pouvais y accéder tout le temps, malgré mes efforts, à n'y rien comprendre. Je crois aussi que le mec sur les pages d'aide IPTABLES que je donne au dessus n'est pas non plus très clair.
Dernière modification par -pascal34- (Le 26/01/2014, à 11:55)
#8 Le 26/01/2014, à 15:12
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Si je change la policy de INPUT, que je la passe en ACCEPT, au lieu de DROP, et que je fais un scann de tous les ports TCP avec NMAP, il me dit que tous les ports sont fermés. J'ai donc le même résultat que lorsque je suis en Policy DENY sur la chaîne INPUT dans IPtables, j'ai reconduit cette expérience en mettant ACCEPT sur la policy de OUTPUT, et là pareil, tous les ports fermés, aussi bien en DENY que en ACCEPT sur OUTPUT. Je ne comprends absolument rien aux résultats de nmap. Lorsqu'il me trouve un port ouvert, il a fumé la bonne grosse moquette Saint-Maclou ou celle de BUT ?
OUTBUT
INBUT
SCORBUT ?
Qu'est-ce que c'est que ce logiciel....
#9 Le 26/01/2014, à 15:48
- Haleth
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Lit ça : http://www.amazon.fr/TCP-pour-nuls-Cand … 284427241X
Tu cherches à utiliser un logiciel sans même comprendre ce que tu veux faire, et a fortiori, ce que tu es en train de faire.
Ça ne peut pas bien se passer ..
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#10 Le 26/01/2014, à 18:56
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Évidemment si vous pouvez m'éviter ce pavé, mais aussi cet "achat", et me donner quelques pistes sans un retour d'argent de ma part (demande Paypal ou autres vous venant à l'esprit), je serais ravi.... Dîtes-moi... Vous n'en êtes pas l'auteur quand même ?
Bonne soirée....
(J'essaie de faire une réponse aussi conviviale que la vôtre, vous m'excuserez, je m'adresse aussi aux lecteurs, et aux lectrices...)
#11 Le 27/01/2014, à 00:07
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
pas bien compris ce que tu veux faire exactement, empêcher une connection rentrante, ou ton ordi de se connecter à un site ?? et donnes nous le retour de sudo iptables-save pour que l'on t'explique ce qui ne va pas.
#12 Le 27/01/2014, à 00:23
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Je cherche juste à interdire les ports 7396 et 36330 en entrée-sortie. Merci, je vais voir copier-coller iptables-save, à demain et bonne nuit
#13 Le 27/01/2014, à 09:22
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Je cherche juste à interdire les ports 7396 et 36330 en entrée-sortie. Merci, je vais voir copier-coller iptables-save, à demain et bonne nuit
ports sur ta machine ou un serveur externe ? tu n'as pas précisé...j'ai mis les deux.
iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPTiptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
#sports s'il s'agit de port de ta machine
iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP
#dports si les ports interdits sont ceux d'un serveur externe.
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --dports 7396,36330 -j DROP
edit: pour interdire un site rajouter ip du site.
iptables -t filter -A OUTPUT -d xxx.xxx.xxx.xxx.xxx -j DROP
Dernière modification par wholes (Le 27/01/2014, à 09:35)
#14 Le 27/01/2014, à 16:37
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
-pascal34- a écrit :Je cherche juste à interdire les ports 7396 et 36330 en entrée-sortie. Merci, je vais voir copier-coller iptables-save, à demain et bonne nuit
ports sur ta machine ou un serveur externe ? tu n'as pas précisé...j'ai mis les deux.
iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPTiptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
#sports s'il s'agit de port de ta machine
iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP
#dports si les ports interdits sont ceux d'un serveur externe.
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --dports 7396,36330 -j DROPedit: pour interdire un site rajouter ip du site.
iptables -t filter -A OUTPUT -d xxx.xxx.xxx.xxx.xxx -j DROP
machine perso ...
Hello ! Merci beaucoup ,tu as trouvé les bons réglages pour ce que je voulais faire, merci beaucoup (je les ai changé et fait évoluer suivant mes programmes et mes attentes, mais en gros tu m'as donné une super piste, merci beaucoup, avec ceux-ci, adieu UFW et GUFW, je jonglais entre IPTABLES et UFW et GUFW sans cesse, c'était l'horreur, et là, tu m'as appris en deux secondes comment faire, merci beaucoup...
J'ai arrêté toute utilisation de UFW et GUFW, pour ne me concentrer que sur IPTABLES. Joie et compréhension sont au rdv, depuis des jours et des jours je n'arrivais jamais à trouver l'aide qu'il faut, nulle part, fffff, je vais aller me promener maintenant, faire des courses et tout, j'étais bloqué là dessus, je suis libre aujourd'hui...
Dernière modification par -pascal34- (Le 27/01/2014, à 23:03)
#15 Le 29/01/2014, à 21:41
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Wholes si vous passez par là un jour, m'expliqueriez-vous vos lectures qui ont permis cette aide s'il vous plaît ?
#16 Le 30/01/2014, à 21:14
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Wholes si vous passez par là un jour, m'expliqueriez-vous vos lectures qui ont permis cette aide s'il vous plaît ?
quelles lectures ? si des questions particulières et précises concernant des règles iptables ne fonctionnant pas, ne pas hésiter à les poser.
#17 Le 30/01/2014, à 22:52
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
-pascal34- a écrit :Wholes si vous passez par là un jour, m'expliqueriez-vous vos lectures qui ont permis cette aide s'il vous plaît ?
quelles lectures ? si des questions particulières et précises concernant des règles iptables ne fonctionnant pas, ne pas hésiter à les poser.
Je me suis mal exprimé, je m'en excuses, je cherchais juste à savoir comment vous aviez pu me donner ces lignes de commandes pour Iptables, je cherchais à savoir où les aviez-vous apprises s'il vous plaît, c'est tout. J'aurai aimé le faire moi-même mais après des mois de recherches je n'en étais toujours pas venu à bout. Et vous m'avez dépanné très vite, je me suis demandé comment aviez-vous pu me transmettre ces règles s'il vous plaît, par exemple, je peux les découper ainsi, ce sera peut-être plus clair pour vous si j'aborde le sujet comme suit, en posant la bonne question pour chaque ligne de commande.
Je vous remercie Wholes, j'attaque :
iptables -t filter -F
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
iptables -t filter -P INPUT DROP
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
iptables -t filter -P OUTPUT ACCEPT
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
iptables -t filter -P FORWARD ACCEPT
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
iptables -t filter -A INPUT -i lo -j ACCEPT
Pour la ligne de commande du dessus, où avez-vous lu ce qu'elle allait faire dans Iptables s'il vous plaît ? Vous souvenez-vous du lien de son explication s'il vous plaît ?
#sports s'il s'agit de port de ta machine
iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP
#dports si les ports interdits sont ceux d'un serveur externe.
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --dports 7396,36330 -j DROP
Et pour tout cette dernière partie, où avez-vous lu que sport concernerait la machine local, et dports la machine serveur distant s'il vous plaît ?
Merci beaucoup à vous pour toutes ces réponses, je ne suis pas pressé pour les réponses que vous allez me fournir ou pour la seule réponse que vous allez me fournir, je comprendrai aussi très bien que vous n'ayez pas le temps de répondre, enfin bref, j'aurai vraiment aimé avoir vos connaissances au sujet d'Iptables, cela m'aurait aidé dès le début, et si je dois aider quelqu'un d'autre (amis collègues) je saurai aussi leur dire que c'est vous Wholes qui m'avait appris les liens internet ou les références des livres, afin que je leur donne la même "matière" que vous m’aurez donné ici même, c'est tout.
#18 Le 31/01/2014, à 09:57
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
c'est bien de vouloir comprendre ce que l'on met dans les scripts,
iptables n'est pas du tout une usine à gaz mais que du bon sens et de la logique. et lorsque l'on relis ses règles au moins, on s'y retrouve, le grand avantage, c'est que l'on peut faire des paramétrages qu'aucun logiciel ne pourrait faire, il m'aurait été impossible par exemple de gérer mes différentes interfaces machines, vpn.. comme je le fais autrement que comme cela. (à chaque interface ses propre règles)
Dans la thérorie, beaucoup estiment que cela n'est pas nécessaire iptables si l'ordinateur est derrière une box, c'est en effet exact, mais dans la pratique il faut savoir qu'il ne faut faire confiance à rien, et surtout pas à la box: je ne compte plus le nombre de fois que ma box a essayé de s'infiltrer sur mon LAN, et même avec succès lorsque je n'avais pas changé un mot de passe ftp...:) ftp c'est en clair donc à proscrire, bref en re-consultant ntop et tcpdump paramétré pour enregistré tout ce qui se passe sur les ports en écoute vers un fichier, je n'étais en fait pas étonné qu'un fai (ou plus précisement de ses employés) puisse s'intéresser à un lan d'un client, je passe et referme la parenthèse, si juste une chose encore et je ne m'étend plus sur le sujet, iptables ne protège pas contre une box, iptables travaille en effet au niveau ip de la couche 3 du modèle OSI, et la box est relié à la couche éthernet (couche 2) via une prise RJ45 il est donc impératif d'intercaler un autre routeur entre la box et tes machines pour que iptables puisse t'en protéger)
je trouve ce site très bien fait: si tu veux maitriser un minimum la sécurité et iptables, il te faut un minimum de connaissances en TCP/IP et réseau.
http://irp.nain-t.net/doku.php/130netfilter:030_filter
iptables -t filter -F on fait le vide, ré-initialisation (les ACCEPT ou DROP par défaut restent cependant dans leur état)
iptables -t filter -P INPUT DROP on interdit tout en entrée (personne ne peut venir ni même regarder sur ta machine)
iptables -t filter -P OUTPUT ACCEPT on autorise tout en sortie, on peut le faire car tu es censé contrôler tout ce qui se passe dans ta machine, en pratique certains le mette en DROP aussi pour diverses raisons.
iptables -t filter -P FORWARD ACCEPT cela concerne les paquets qui ne font que passer et destiné à une autre machine, pour l'instant tu n'es pas concerné, c'est pour mettre sur une passerelle.
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
celle ci a une importance toute particulière, c'est elle qui autorise les paquets rentrant sur ta machine pour une connexion qui a été initalisée par ta machine.
exemple, tu va sur un site, tu va donc envoyé une requête sur ce site et comment peut il répondre puisque tu as mis INPUT en DROP, cette régle permet justement de faire exeption et d'autoriser des paquets rentrants sur ta machine malgré le DROP, paquets concernant uniquement les connections initialisées par ta machine juste avant via OUTPUT.
iptables -t filter -A INPUT -i lo -j ACCEPT
indispensable, elle permet à ta machine de communiquer avec elle même sans quoi rien ne se fait.
pour terminer il faut savoir que iptables n'est qu'un histoire de positionnement et de sens du flux, de logique et de bon sens, après il faut juste respecter les syntaxes.
sports (s comme source) s'il se trouve dans OUTPUT alors la source c'est ton ordi puisqu'il envoie alors c'est sports pour désigner les ports de ta machine.
par contre s'il se trouve dans INPUT, la source n'est plus ta machine, elle recoit cette fois, alors sports concernerait une autre machine qui t'envoit des paquets.
le raisonnement est le même pour dports (d comme destination)
tout n'est que positionnement et de sens du flux dans iptables
regarde cette règle: state --state ESTABLISHED,RELATED -j ACCEPT
il faudrait la mettre dans OUTUT aussi s'il était en DROP, la logique reste la même dans l'autre sens, si un paquet rentrant initialisé depuis l'extérieur, il faudrait bien que ton OUTPUT en DROP fasse exeption pour lui répondre....
Dernière modification par wholes (Le 31/01/2014, à 10:02)
#19 Le 31/01/2014, à 11:41
- Pierre Lhabitant
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
iptables n'est pas du tout une usine à gaz mais que du bon sens et de la logique. et lorsque l'on relis ses règles au moins, on s'y retrouve, le grand avantage, c'est que l'on peut faire des paramétrages qu'aucun logiciel ne pourrait faire, il m'aurait été impossible par exemple de gérer mes différentes interfaces machines, vpn.. comme je le fais autrement que comme cela. (à chaque interface ses propre règles)
Dans la thérorie, beaucoup estiment que cela n'est pas nécessaire iptables si l'ordinateur est derrière une box, c'est en effet exact, mais dans la pratique il faut savoir qu'il ne faut faire confiance à rien, et surtout pas à la box: je ne compte plus le nombre de fois que ma box a essayé de s'infiltrer sur mon LAN, et même avec succès lorsque je n'avais pas changé un mot de passe ftp...:) ftp c'est en clair donc à proscrire, bref en re-consultant ntop et tcpdump paramétré pour enregistré tout ce qui se passe sur les ports en écoute vers un fichier, je n'étais en fait pas étonné qu'un fai (ou plus précisement de ses employés) puisse s'intéresser à un lan d'un client, je passe et referme la parenthèse, si juste une chose encore et je ne m'étend plus sur le sujet, iptables ne protège pas contre une box, iptables travaille en effet au niveau ip de la couche 3 du modèle OSI, et la box est relié à la couche éthernet (couche 2) via une prise RJ45 il est donc impératif d'intercaler un autre routeur entre la box et tes machines pour que iptables puisse t'en protéger)
je trouve ce site très bien fait: si tu veux maitriser un minimum la sécurité et iptables, il te faut un minimum de connaissances en TCP/IP et réseau.
http://irp.nain-t.net/doku.php/130netfilter:030_filter
iptables -t filter -F on fait le vide, ré-initialisation (les ACCEPT ou DROP par défaut restent cependant dans leur état)
iptables -t filter -P INPUT DROP on interdit tout en entrée (personne ne peut venir ni même regarder sur ta machine)
iptables -t filter -P OUTPUT ACCEPT on autorise tout en sortie, on peut le faire car tu es censé contrôler tout ce qui se passe dans ta machine, en pratique certains le mette en DROP aussi pour diverses raisons.
iptables -t filter -P FORWARD ACCEPT cela concerne les paquets qui ne font que passer et destiné à une autre machine, pour l'instant tu n'es pas concerné, c'est pour mettre sur une passerelle.
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
celle ci a une importance toute particulière, c'est elle qui autorise les paquets rentrant sur ta machine pour une connexion qui a été initalisée par ta machine.
exemple, tu va sur un site, tu va donc envoyé une requête sur ce site et comment peut il répondre puisque tu as mis INPUT en DROP, cette régle permet justement de faire exeption et d'autoriser des paquets rentrants sur ta machine malgré le DROP, paquets concernant uniquement les connections initialisées par ta machine juste avant via OUTPUT.
iptables -t filter -A INPUT -i lo -j ACCEPT
indispensable, elle permet à ta machine de communiquer avec elle même sans quoi rien ne se fait.
pour terminer il faut savoir que iptables n'est qu'un histoire de positionnement et de sens du flux, de logique et de bon sens, après il faut juste respecter les syntaxes.
sports (s comme source) s'il se trouve dans OUTPUT alors la source c'est ton ordi puisqu'il envoie alors c'est sports pour désigner les ports de ta machine.
par contre s'il se trouve dans INPUT, la source n'est plus ta machine, elle recoit cette fois, alors sports concernerait une autre machine qui t'envoit des paquets.
le raisonnement est le même pour dports (d comme destination)
tout n'est que positionnement et de sens du flux dans iptables
regarde cette règle: state --state ESTABLISHED,RELATED -j ACCEPT
il faudrait la mettre dans OUTUT aussi s'il était en DROP, la logique reste la même dans l'autre sens, si un paquet rentrant initialisé depuis l'extérieur, il faudrait bien que ton OUTPUT en DROP fasse exeption pour lui répondre....
"mais dans la pratique il faut savoir qu'il ne faut faire confiance à rien, et surtout pas à la box: je ne compte plus le nombre de fois que ma box a essayé de s'infiltrer sur mon LAN, et même avec succès lorsque je n'avais pas changé un mot de passe ftp...:) ftp c'est en clair donc à proscrire, bref en re-consultant ntop et tcpdump paramétré pour enregistré tout ce qui se passe sur les ports en écoute vers un fichier, je n'étais en fait pas étonné qu'un fai (ou plus précisement de ses employés) puisse s'intéresser à un lan d'un client, je passe et referme la parenthèse, "
Des bêtises, d'abord la box est la défense principale du réseau local, "s'infiltrer" sur le LAN... à part de l'IGMP de façon régulière, donc de la découverte réseau, du genre "qui est là?", moi je n'ai jamais rien vu, c'est du vent.
Intercaler un routeur derrière une box ne sert à rien, à part perdre le bénéfice de la télé du FAI et le téléphone gratuit.
Quant au hack supposé d'un employé d'un FAI, d'abord expliquer comment on peut identifier une identité d'après des journaux de trafic.
Quant aux règles décrites plus haut, c'est quand même très très basique, dans le genre GUFW fait mieux de façon automatique, il serait temps qu'Ubuntu fasse un effort du côté réseau, comme Fedora l'a fait avec firewalld, un outil avec interface graphique préinstallé, qui isole le PC sur le réseau, public ou local.
Hors ligne
#20 Le 31/01/2014, à 12:05
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Je n'ai pas envie de discuter d'un sujet qu'on trouvera toujours à redire, je répondais à l'auteur du post.je clos.
hélas non pas bêtise du tout, puisque je peux le démontrer avec des captures tcpdump...bref le monde n'est pas blanc d'un coté et noir de l'autre..cela serait trop simple, mais qu'est ce tu crois mon bisounours....(évidemment que la box est un mur vis à vis de l'extérieur, mais le fai intègre ton réseau,
évidemment que je lui ai indiqué le plus basique qui soit puisqu'il veut apprendre et comprendre.
#21 Le 31/01/2014, à 12:16
- Pierre Lhabitant
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
12:13:10 N/A IN IGMP livebox.home * Block IGMP 0 32
12:12:33 SYSTEM IN UDP livebox.home 138 Bloquer le trafic NetBIOS 0 211
12:12:29 SYSTEM IN UDP livebox.home 137 Bloquer le trafic NetBIOS 0 312
12:18:45 Bloquer IN UDP 192.168.1.1 53 192.168.1.13 55163 Paquet vers un port fermé
Il est où le hack d'Orange?...
Dernière modification par Pierre Lhabitant (Le 31/01/2014, à 12:21)
Hors ligne
#22 Le 31/01/2014, à 12:27
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
c'est bien de vouloir comprendre ce que l'on met dans les scripts,
iptables n'est pas du tout une usine à gaz mais que du bon sens et de la logique. et lorsque l'on relis ses règles au moins, on s'y retrouve, le grand avantage, c'est que l'on peut faire des paramétrages qu'aucun logiciel ne pourrait faire, il m'aurait été impossible par exemple de gérer mes différentes interfaces machines, vpn.. comme je le fais autrement que comme cela. (à chaque interface ses propre règles)
Dans la thérorie, beaucoup estiment que cela n'est pas nécessaire iptables si l'ordinateur est derrière une box, c'est en effet exact, mais dans la pratique il faut savoir qu'il ne faut faire confiance à rien, et surtout pas à la box: je ne compte plus le nombre de fois que ma box a essayé de s'infiltrer sur mon LAN, et même avec succès lorsque je n'avais pas changé un mot de passe ftp...:) ftp c'est en clair donc à proscrire, bref en re-consultant ntop et tcpdump paramétré pour enregistré tout ce qui se passe sur les ports en écoute vers un fichier, je n'étais en fait pas étonné qu'un fai (ou plus précisement de ses employés) puisse s'intéresser à un lan d'un client, je passe et referme la parenthèse, si juste une chose encore et je ne m'étend plus sur le sujet, iptables ne protège pas contre une box, iptables travaille en effet au niveau ip de la couche 3 du modèle OSI, et la box est relié à la couche éthernet (couche 2) via une prise RJ45 il est donc impératif d'intercaler un autre routeur entre la box et tes machines pour que iptables puisse t'en protéger)
je trouve ce site très bien fait: si tu veux maitriser un minimum la sécurité et iptables, il te faut un minimum de connaissances en TCP/IP et réseau.
http://irp.nain-t.net/doku.php/130netfilter:030_filteriptables -t filter -F on fait le vide, ré-initialisation (les ACCEPT ou DROP par défaut restent cependant dans leur état)
iptables -t filter -P INPUT DROP on interdit tout en entrée (personne ne peut venir ni même regarder sur ta machine)
iptables -t filter -P OUTPUT ACCEPT on autorise tout en sortie, on peut le faire car tu es censé contrôler tout ce qui se passe dans ta machine, en pratique certains le mette en DROP aussi pour diverses raisons.
iptables -t filter -P FORWARD ACCEPT cela concerne les paquets qui ne font que passer et destiné à une autre machine, pour l'instant tu n'es pas concerné, c'est pour mettre sur une passerelle.
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
celle ci a une importance toute particulière, c'est elle qui autorise les paquets rentrant sur ta machine pour une connexion qui a été initalisée par ta machine.
exemple, tu va sur un site, tu va donc envoyé une requête sur ce site et comment peut il répondre puisque tu as mis INPUT en DROP, cette régle permet justement de faire exeption et d'autoriser des paquets rentrants sur ta machine malgré le DROP, paquets concernant uniquement les connections initialisées par ta machine juste avant via OUTPUT.iptables -t filter -A INPUT -i lo -j ACCEPT
indispensable, elle permet à ta machine de communiquer avec elle même sans quoi rien ne se fait.pour terminer il faut savoir que iptables n'est qu'un histoire de positionnement et de sens du flux, de logique et de bon sens, après il faut juste respecter les syntaxes.
sports (s comme source) s'il se trouve dans OUTPUT alors la source c'est ton ordi puisqu'il envoie alors c'est sports pour désigner les ports de ta machine.
par contre s'il se trouve dans INPUT, la source n'est plus ta machine, elle recoit cette fois, alors sports concernerait une autre machine qui t'envoit des paquets.
le raisonnement est le même pour dports (d comme destination)tout n'est que positionnement et de sens du flux dans iptables
regarde cette règle: state --state ESTABLISHED,RELATED -j ACCEPT
il faudrait la mettre dans OUTUT aussi s'il était en DROP, la logique reste la même dans l'autre sens, si un paquet rentrant initialisé depuis l'extérieur, il faudrait bien que ton OUTPUT en DROP fasse exeption pour lui répondre....
Merci beaucoup pour toutes ces infos Wholes, cela m'a aidé, merci...
Si par exemple je veux intercaler un routeur en RJ45 entre la box et mon PC, comment faire stp ?
J'ai une idée, mais je ne sais pas si elle est bonne :
1° : je sors un câble RJ45 de ma box (sur une prise LAN de celle-ci).
2° : je connecte cette prise RJ45 à un port WAN du routeur que je veux intercaler.
3° : je sors un câble RJ45 (LAN) de mon nouveau routeur pour le brancher sur le port RJ45 de mon ordinateur.
Est-ce que cela fonctionne comme ça ou pas du tout stp ? Merci à toi.
Dernière modification par -pascal34- (Le 31/01/2014, à 12:30)
#23 Le 31/01/2014, à 16:51
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
J'ai une idée, mais je ne sais pas si elle est bonne :
1° : je sors un câble RJ45 de ma box (sur une prise LAN de celle-ci).
2° : je connecte cette prise RJ45 à un port WAN du routeur que je veux intercaler.
3° : je sors un câble RJ45 (LAN) de mon nouveau routeur pour le brancher sur le port RJ45 de mon ordinateur.Est-ce que cela fonctionne comme ça ou pas du tout stp ? Merci à toi.
voilà c'est cela,
mais je n'ai pas dis que ton fai aller t'embêter, mais dans la sécurité, il ne faut rien négliger. pur précaution et le jour qu'un serveur devra être accessible de l'extérieur comme ssh par exemple, tu auras 2 redirections de ports à faire bien-entendu. (box et routeur)
Dernière modification par wholes (Le 31/01/2014, à 16:57)
#24 Le 31/01/2014, à 17:54
- Haleth
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Quant aux règles décrites plus haut, c'est quand même très très basique, dans le genre GUFW fait mieux de façon automatique, il serait temps qu'Ubuntu fasse un effort du côté réseau, comme Fedora l'a fait avec firewalld, un outil avec interface graphique préinstallé, qui isole le PC sur le réseau, public ou local.
Mouais, y'a encore beaucoup trop de lignes pour une bonne utilisation du réseau, m'enfin.
Au fait, il serait temps pour toi d'acheter et de lire un guide sur les réseaux .. non ? Enfin c'est toi qui voit;
1° : je sors un câble RJ45 de ma box (sur une prise LAN de celle-ci).
2° : je connecte cette prise RJ45 à un port WAN du routeur que je veux intercaler.
3° : je sors un câble RJ45 (LAN) de mon nouveau routeur pour le brancher sur le port RJ45 de mon ordinateur.
Ça marche, et c'est même plus sécurisé !
Une légende dit que si on met 15 routeurs en chaine, alors l'extrémité est entièrement invulnérable aux problèmes réseaux.
PS: oui, c'était ironique, et non, ton bricolage ne sert pas à grand chose (rien de bénéfique a minima)
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#25 Le 31/01/2014, à 20:04
- compte supprimé
Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?
Wholes si vous passez par là un jour, m'expliqueriez-vous vos lectures qui ont permis cette aide s'il vous plaît ?
pas chez Amazon en tout cas, si tu veux d'autres infos tu m'envois par mail, je sors.