Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/05/2023, à 21:09

fan2tango

iptables sur Ubuntu 18.04

Bonjour à tous,

J’explore iptables pour contrôler les accès sur mon serveur et restreindre certains à certaines adresses IP entrantes spécifiques.
J’ai plusieurs question :

Si je je liste les règles avec iptables -S, je trouve une ligne sans spécification de port.

Sudo iptables -S
 -A INPUT -j ACCEPT

Faut-il comprendre que tout est ouvert à tous ?

Sur certains ports, j’ai spécifiquement indiqué qu’ils n’étaient ouverts que sur certaines IP et avec rejet sur les autres.
Ça ça fonctionne quand je n’ai qu’une IP à contrôler.
Pour ça, j’ai ajouté

INPUT -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT ! -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j DROP

Mais si j’ai plusieurs IP à mettre sur la même règle, j’imagine que ça ne fonctionne pas comme ça.
Faut-il alors mettre un ACCEPT pour chaque IP et un DrOP global sur le port ?

INPUT -s xx1.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT -s xx2.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT
INPUT -p tcp —dport xxxx -j DROP

Enfin, comment lister les ports ouverts ?

Merci par avance pour votre aide .

Dernière modification par fan2tango (Le 25/05/2023, à 21:26)

Hors ligne

#2 Le 25/05/2023, à 22:46

jplemoine

Re : iptables sur Ubuntu 18.04

En fait, c'est la première règle qui correspond qui est prise en compte.
Donc, il faut faire les ACCEPT puis finir par un DROP et/ou REJECT


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 26/05/2023, à 07:04

fan2tango

Re : iptables sur Ubuntu 18.04

Merci pour cette précision.
Comment est-il possible de lister les ports ouverts et donc potentiellement à risque ?

Hors ligne

#4 Le 26/05/2023, à 07:29

bruno

Re : iptables sur Ubuntu 18.04

Bonjour,

Il faudrait nous montrer l'ensemble de tes règles :

iptables -L -n

Si tu veux filtrer efficacement le trafic entrant il vaudrait mieux mettre la politique par défaut sur DROP :

iptables -P INPUT DROP

et autoriser ensuite ce qu'i l'est, exemple :

INPUT -s xxx.xxx.xxx.xxx -p tcp —dport xxxx -j ACCEPT

Sinon, je rappelle qu'un port n'est ouvert que si un service est en écoute dessus. Pour voir ce qui en écoute et sur quel port :

ss -tunlp

Pour voir de l'extérieur (depuis une autre machine) ce qui est ouvert/fermé/filtré :

nmap ip_du_serveur 

(pour les ports 0-1024, pour le reste man nmap)

Enfin il vaut mieux sécuriser le service en écoute et si possible n'autoriser certaines IP dans la configuration du service plutôt que de mettre en place des règles de pare-feu plus ou moins bancales (et souvent inutiles).

P.S. : Ubuntu 18.04 est en fin de vie et iptables sera un jour abandonné au profit de nftables.