#1 Le 10/07/2014, à 15:30
- 8140david
Iptable bien configuré ? [Résolu]
Voici ma config Iptable:
iptables -F
iptables -X
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
Et voici le resultat de la commande 'sudo nmap localhost --system-dns':
Starting Nmap 5.21 ( http://nmap.org ) at 2014-07-10 16:24 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
53/tcp open domain
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
Est-ce que tout est bon, ou y a-t-il un probleme de securite ?
Dernière modification par 8140david (Le 14/07/2014, à 07:27)
Hors ligne
#2 Le 10/07/2014, à 15:49
- tiramiseb
Re : Iptable bien configuré ? [Résolu]
Salut,
Plusieurs problèmes...
1/ ta "config Iptable" est juste une série de règles iptables qui autorisent tout en entrée et tout en sortie, donc ça ne sert à rien vu que le défaut c'est de tout autoriser ;
2/ un nmap en localhost, ça n'a pas de sens, vu que certaines choses écoutent uniquement en localhost et non sur le réseau (notamment dnsmasq sur le port 53 et cups sur le port 631) ;
3/ tu as probablement des partages de fichiers en place (serveur Samba), du coup on voit ces partages (ports 139 et 445) ;
4/ ce que tout cela prouve, c'est qu'un pare-feu est inutile...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 10/07/2014, à 16:11
- 8140david
Re : Iptable bien configuré ? [Résolu]
Merci pour ces explications.
J'ai supprime Samba qui me servait a rien.
Maintenant j'ai:
Starting Nmap 5.21 ( http://nmap.org ) at 2014-07-10 17:08 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
53/tcp open domain
631/tcp open ipp
Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds
Hors ligne
#4 Le 10/07/2014, à 16:19
- Loupus11
Re : Iptable bien configuré ? [Résolu]
Salut,
Plusieurs problèmes...
1/ ta "config Iptable" est juste une série de règles iptables qui autorisent tout en entrée et tout en sortie, donc ça ne sert à rien vu que le défaut c'est de tout autoriser ;
2/ un nmap en localhost, ça n'a pas de sens, vu que certaines choses écoutent uniquement en localhost et non sur le réseau (notamment dnsmasq sur le port 53 et cups sur le port 631) ;
3/ tu as probablement des partages de fichiers en place (serveur Samba), du coup on voit ces partages (ports 139 et 445) ;
4/ ce que tout cela prouve, c'est qu'un pare-feu est inutile...
Bonjour,
J'ai une question qui j'espère ne va pas polluer le forum,
Mais pourquoi iptable alors qu'il existe ufw et GUFW ?
Merci par avance @tiramiseb de répondre, cela pourrait servir aux débutants tel que moi.
Médion UK Akoya Ubuntu 14.04 LTS 64 bits
Intel(R) Pentium(R) CPU G630 @ 2.70GHz -4 Go Ram
intel: Driver for Intel Integrated Graphics Chipsets: i810,
La patience est un vêtement qui ne s'est jamais usé
Hors ligne
#5 Le 10/07/2014, à 16:20
- tiramiseb
Re : Iptable bien configuré ? [Résolu]
pourquoi iptable alors qu'il existe ufw et GUFW ?
C'est une bonne question : pourquoi donc certains utilisent encore directement iptables alors qu'il existe ufw !?
Et une autre question : pourquoi des gens qui n'ont pas besoin de pare-feu tiennent absolument à en mettre un !?
Dernière modification par tiramiseb (Le 10/07/2014, à 16:20)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 10/07/2014, à 16:48
- Loupus11
Re : Iptable bien configuré ? [Résolu]
Merci d'avoir pris le temps de répondre :
Exemple mon FAI est orange donc je suis derrière une Live Box routeur, avec Debian et Ubuntu pas besoin de firewal logiciel, car avec un routeur normalement configuré pas de soucis.
Suis-je dans l’erreur ?
Je pense que ta réponse servira aux libristes.
Merci par avance
Cela est ma dernière question !!!
Médion UK Akoya Ubuntu 14.04 LTS 64 bits
Intel(R) Pentium(R) CPU G630 @ 2.70GHz -4 Go Ram
intel: Driver for Intel Integrated Graphics Chipsets: i810,
La patience est un vêtement qui ne s'est jamais usé
Hors ligne
#7 Le 10/07/2014, à 17:35
- Brunod
Re : Iptable bien configuré ? [Résolu]
...
Mais pourquoi iptable alors qu'il existe ufw et GUFW ?
Merci par avance @tiramiseb de répondre, cela pourrait servir aux débutants tel que moi.
Pour ne pas devoir mettre une couche interface graphique sur un serveur sans X par exemple.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#8 Le 10/07/2014, à 19:17
- tiramiseb
Re : Iptable bien configuré ? [Résolu]
Pour ne pas devoir mettre une couche interface graphique sur un serveur sans X par exemple.
UFW est en ligne de commande...
Exemple mon FAI est orange donc je suis derrière une Live Box routeur, avec Debian et Ubuntu pas besoin de firewal logiciel, car avec un routeur normalement configuré pas de soucis.
Bah même sans routeur, aucun port n'est ouvert par défaut, il n'y a pas de raison de mettre un pare-feu s'il n'y a pas de port ouvert...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 10/07/2014, à 19:55
- PerfMonk
Re : Iptable bien configuré ? [Résolu]
Ha! Ha ! Ha!
Tes commandes iptables sont l'équivalent de ne pas avoir de pare-feu!!!
Tu peux utiliser UFW (sudo apt-get install ufw) ou faire ton script de iptables maison.
Voici un exemple de script maison que j'utilise :
===========================================================
#!/bin/bash
# Constantes
IPT=/sbin/iptables
# Interface qui est dans votre réseau
# Mon réseau local
LAN="192.168.1.0/24"
# Interface Loopback
LOOP_IFACE="lo"
LOOP_IP="127.0.0.1"
### On commence par effacer tout ####
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
# Les tables sont effacées.
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
### Le défaut sécuritaire on bloque tout ce qui veut entrer ###
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
#### Maintenant on va ouvrir ce qu'on veut laisser passer
# Tout le trafic venant de l'interface Loopback est accepté.
$IPT -A INPUT -p ALL -i $LOOP_IFACE -j ACCEPT
# Si un packet est invalide, on le drop pour ne pas causer d'erreur
$IPT -A INPUT -m state --state INVALID -j DROP
# On accepte le trafic en entrée si et seulement si il a été initié par notre ordinateur.
$IPT -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
# On accepte le trafic en entrée de notre réseau local
$IPT -A INPUT -s $LAN -j ACCEPT
# On accepte seulement les packet ICMP du WAN à une fréquence de 1 par seconde
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
# Petite amélioration pour accélérer une connexion IRC
$IPT -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
# Je permet à SSH d*entrer
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
### Ajout pour IPV6 ###
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A INPUT -s 2000::/3 -j REJECT
ip6tables -A OUTPUT -d 2000::/3 -j REJECT
#ip6tables -A INPUT -p tcp --destination-port 22 -j ACCEPT
exit
================================================================================
NB : ajuster le sous-réseau pour celui que tu utilise.
Ce script configure iptables pour bloquer tout ce qui veut entrer (sauf ssh et le ping) et permet à tes connexions déjà établies de sortir.
Salutations,
Bernard
PS: Tu peux ajouter ce script à /etc/init.d/rc.local qui est exécuté au démarrage de ta machine.
Dernière modification par PerfMonk (Le 10/07/2014, à 19:56)
Hors ligne
#10 Le 10/07/2014, à 20:08
- tiramiseb
Re : Iptable bien configuré ? [Résolu]
Tes commandes iptables sont l'équivalent de ne pas avoir de pare-feu!!!
C'est ce que j'ai dit en #2 quatre heures auparavant...
Voici un exemple de script
Ton script n'apporte pas grand chose (voire rien) sur une configuration classique...
Tu peux ajouter ce script à /etc/init.d/rc.local
rc.local !? C'est vraiment la plus crado des manières pour mettre quelque chose au démarrage...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#11 Le 10/07/2014, à 20:14
- pires57
Re : Iptable bien configuré ? [Résolu]
ahah, ton script .... ne sert strictement à rien...
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#12 Le 11/07/2014, à 07:35
- Brunod
Re : Iptable bien configuré ? [Résolu]
Pour ne pas devoir mettre une couche interface graphique sur un serveur sans X par exemple.
UFW est en ligne de commande...
...
Je parlais de gufw.
Sinon aussi pourquoi les gens se cassent la tête avec des scripts, des modif de répertoire de conf alors qu'il existe iptables-persistent ?
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#13 Le 11/07/2014, à 10:05
- 8140david
Re : Iptable bien configuré ? [Résolu]
Bah même sans routeur, aucun port n'est ouvert par défaut, il n'y a pas de raison de mettre un pare-feu s'il n'y a pas de port ouvert...
Que se passe-t-il alors quand on fait du P2P (avec Transmission dans mon cas)?
Est-il preferable de creer un regle iptables ou pas? Et si oui, laquelle ?
Hors ligne
#14 Le 11/07/2014, à 10:11
- bruno
Re : Iptable bien configuré ? [Résolu]
Au passage lancer la commande nmap sur l'adresse de bouclage (127.0.0.1) cela ne sert strictement à rien…
#15 Le 11/07/2014, à 10:29
- 8140david
Re : Iptable bien configuré ? [Résolu]
Au passage lancer la commande nmap sur l'adresse de bouclage (127.0.0.1) cela ne sert strictement à rien…
Merci de faire des commentaires constructifs:
Que faudrait-il faire a la place?
Hors ligne
#16 Le 11/07/2014, à 10:35
- bruno
Re : Iptable bien configuré ? [Résolu]
Lire la page de man de nmap ? Et comprendre à quoi sert cet outil
Si tu veux absolument utiliser nmap il fut le faire depuis une autre machine avec une adresse IP publique.
#17 Le 11/07/2014, à 10:44
- 8140david
Re : Iptable bien configuré ? [Résolu]
Merci. Puisque tu reponds, tu pourrais expliquer en quelques mots a quoi ca sert...
Hors ligne
#18 Le 11/07/2014, à 10:48
- Brunod
Re : Iptable bien configuré ? [Résolu]
A voir les ports ouverts, fermés, trouver les services qui tournent sur le pc, déterminer l'os, trouver les failles correspondantes. Ensuite on les colmate ou on les exploite selon la couleur du chapeau que l'on porte.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#19 Le 11/07/2014, à 12:42
- tiramiseb
Re : Iptable bien configuré ? [Résolu]
aussi pourquoi les gens se cassent la tête avec des scripts, des modif de répertoire de conf alors qu'il existe iptables-persistent ?
Parce qu'il y a de très nombreux tutoriels de mauvaise qualité ou trop vieux sur Internet...
Que se passe-t-il alors quand on fait du P2P (avec Transmission dans mon cas)?
Ça dépend. Grosso modo il y a un port qui s'ouvre pour que les tiers puissent se connecter chez toi et puis toi tu te connectes à l'extérieur..
Est-il preferable de creer un regle iptables ou pas? Et si oui, laquelle ?
Bah non : si un port s'ouvre, c'est pour qu'il soit utilisé...
Au passage lancer la commande nmap sur l'adresse de bouclage (127.0.0.1) cela ne sert strictement à rien…
Oui, comme je l'ai indiqué en #2...
Que faudrait-il faire a la place?
Exécuter nmap à partir d'une autre machine...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#20 Le 11/07/2014, à 14:26
- Brunod
Re : Iptable bien configuré ? [Résolu]
@Tiramiseb : Attention, tu confonds bruno et brunod dans tes citations, nous sommes plusieurs
Moi je suis le daemon
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#21 Le 11/07/2014, à 14:55
- Loupus11
Re : Iptable bien configuré ? [Résolu]
Moi je suis le daemon
Elle bonne celle là !!!
Oh mon Dieu sauvez nos âmes et protégez-nous du Dragon !!!
Dernière modification par Loupus11 (Le 11/07/2014, à 14:56)
Médion UK Akoya Ubuntu 14.04 LTS 64 bits
Intel(R) Pentium(R) CPU G630 @ 2.70GHz -4 Go Ram
intel: Driver for Intel Integrated Graphics Chipsets: i810,
La patience est un vêtement qui ne s'est jamais usé
Hors ligne
#22 Le 11/07/2014, à 19:06
- PerfMonk
Re : Iptable bien configuré ? [Résolu]
...
Ton script n'apporte pas grand chose (voire rien) sur une configuration classique...Tu peux ajouter ce script à /etc/init.d/rc.local
rc.local !? C'est vraiment la plus crado des manières pour mettre quelque chose au démarrage...
Et toi tu aurais quelque chose de positif à dire ?
Le script que j'ai proposé ferme l'accès à la machine de l'extérieur sauf pour ssh ... Je pense que c'est déjà une amélioration à rien du tout.
Et /etc/rc.loca : tu as un meilleur endroit pour faire exécuter du code au démarrage M. Positif ?
Hors ligne
#23 Le 11/07/2014, à 20:42
- pires57
Re : Iptable bien configuré ? [Résolu]
non ce n'est PAS une amélioration.
ton script est totalement INUTILE sur un système Linux où par défaut il n'y a rien qui écoutes sur le réseau!
Ensuite moi je l'aurais plutôt mis dans
/etc/init.d/
et tu lui indique qu'il doit être exécuté à chaque démarage :
update-rc.d iptables.sh defaults
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#24 Le 12/07/2014, à 00:47
- PerfMonk
Re : Iptable bien configuré ? [Résolu]
non ce n'est PAS une amélioration.
ton script est totalement INUTILE sur un système Linux où par défaut il n'y a rien qui écoutes sur le réseau!
Ensuite moi je l'aurais plutôt mis dans/etc/init.d/
et tu lui indique qu'il doit être exécuté à chaque démarage :
update-rc.d iptables.sh defaults
Je ne suis pas d'accord. Ce n'est pas inutile si tu as des services locaux qui eux écoutent genre : apache ou d'autres applications web locale (administration de cups sur localhost:931, X, SSH, ...) et bien d'autres choses qui utilisent des ports de communication locaux. Je crois qu'il est facile d'oublier un programme qui va écouter sur un port en pensant qu'on est bien en sécurité...alors qu'il peut y avoir une faille quelque part.
Personnellement je préfère prévenir plutôt qu'être à risque.
Et /etc/rc.local est exécuté à chaque démarrage car il est exécuté par /etc/init.d/rc.local. C'est un script qui est exactement prévu pour exécuter des scripts locaux comme celui dont on parle.
Bien à vous,
Bernard
Hors ligne
#25 Le 12/07/2014, à 06:32
- bruno
Re : Iptable bien configuré ? [Résolu]
Pas tout à fait. /etc/rc.local est exécuté après tous les autres scripts d’initialisation en mode multiutilisateur. Ce n'est donc pas une bonne solution pour établir les règles du pare-feu. Idéalement le pare-feu doit être activé par un script d'init (comme suggéré par pires57, à ceci près que je l'activerai aussi au niveau 1) ou comme je l'ai déjà vu dans un script d’initialisation du réseau.
Sinon je crois aussi que c'est inutile sur une machine isolée (à moins de vouloir restreindre certains services à certaines IP). Tu parles de « service locaux », comme CUPS. Ces services n'étant en écoute que sur l'interface de bouclage (127.0.0.1) il ne sont pas accessibles de l'extérieur par définition. Cela ne justifie donc absolument pas l'utilisation de règles de filtrage…