Pages : 1
#1 Le 25/05/2023, à 21:09
- fan2tango
iptables sur Ubuntu 18.04
Bonjour à tous,
J’explore iptables pour contrôler les accès sur mon serveur et restreindre certains à certaines adresses IP entrantes spécifiques.
J’ai plusieurs question :
Si je je liste les règles avec iptables -S, je trouve une ligne sans spécification de port.
Sudo iptables -S
-A INPUT -j ACCEPT
Faut-il comprendre que tout est ouvert à tous ?
Sur certains ports, j’ai spécifiquement indiqué qu’ils n’étaient ouverts que sur certaines IP et avec rejet sur les autres.
Ça ça fonctionne quand je n’ai qu’une IP à contrôler.
Pour ça, j’ai ajouté
INPUT -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT ! -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j DROP
Mais si j’ai plusieurs IP à mettre sur la même règle, j’imagine que ça ne fonctionne pas comme ça.
Faut-il alors mettre un ACCEPT pour chaque IP et un DrOP global sur le port ?
INPUT -s xx1.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT -s xx2.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT -p tcp —dport xxxx -j DROP
Enfin, comment lister les ports ouverts ?
Merci par avance pour votre aide .
Dernière modification par fan2tango (Le 25/05/2023, à 21:26)
Hors ligne
#2 Le 25/05/2023, à 22:46
- jplemoine
Re : iptables sur Ubuntu 18.04
En fait, c'est la première règle qui correspond qui est prise en compte.
Donc, il faut faire les ACCEPT puis finir par un DROP et/ou REJECT
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#3 Le 26/05/2023, à 07:04
- fan2tango
Re : iptables sur Ubuntu 18.04
Merci pour cette précision.
Comment est-il possible de lister les ports ouverts et donc potentiellement à risque ?
Hors ligne
#4 Le 26/05/2023, à 07:29
- bruno
Re : iptables sur Ubuntu 18.04
Bonjour,
Il faudrait nous montrer l'ensemble de tes règles :
iptables -L -n
Si tu veux filtrer efficacement le trafic entrant il vaudrait mieux mettre la politique par défaut sur DROP :
iptables -P INPUT DROP
et autoriser ensuite ce qu'i l'est, exemple :
INPUT -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
Sinon, je rappelle qu'un port n'est ouvert que si un service est en écoute dessus. Pour voir ce qui en écoute et sur quel port :
ss -tunlp
Pour voir de l'extérieur (depuis une autre machine) ce qui est ouvert/fermé/filtré :
nmap ip_du_serveur
(pour les ports 0-1024, pour le reste man nmap)
Enfin il vaut mieux sécuriser le service en écoute et si possible n'autoriser certaines IP dans la configuration du service plutôt que de mettre en place des règles de pare-feu plus ou moins bancales (et souvent inutiles).
P.S. : Ubuntu 18.04 est en fin de vie et iptables sera un jour abandonné au profit de nftables.
Pages : 1