Pages : 1
#1 Le 21/11/2011, à 14:51
- mangue
Question Regles iptables input et output
Bonjour,
Je suis en train de preparer mes regles iptables pour un serveur distant et je me posais une question.
Si les regles suivantes sont appliquees, et que les INPUT OUTPUT et FORWARD sont en DROP par defaut :
iptables -A INPUT -p tcp --dport ssh -j accept
iptables -i lo -j accept
iptables -m state --state ESTABLISHED,RELATED -j ACCEPT
Est ce que le SSH sera bloque du serveur vers mon pc, ou est-ce que la regle sur les connections etablies fera que le SSH pourra sortir ?
D'avance merci.
Mangue
PS : Desole pour les accents, je suis sur clavier US.
ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.
Hors ligne
#2 Le 24/11/2011, à 11:55
- melinameline
Re : Question Regles iptables input et output
Bonjour mangue,
je ne maitrise pas bien les iptables, mais je crois que tant que la regle de output n'est pas mensionnée cela veut dire que le ssh est bloqué de ton serveur vers ton pc,
la regle sur les connections etablies s'applique sur les paqués accepté, il me semble.
bonne chance
Hors ligne
#3 Le 24/11/2011, à 12:56
- mangue
Re : Question Regles iptables input et output
Merci a toi pour cette reponse !
Dans le doute j'ai mis en place, et ca a l'air de fonctionner.
ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.
Hors ligne
#4 Le 24/11/2011, à 14:10
- NooP
Re : Question Regles iptables input et output
Bonjour.
Effectivement, si tu n'as pas de règle 'OUTPUT', alors tu ne peux établir une nouvelle 'NEW' connexion sortante.
Dans le cas que tu montres, ton PC est autorisé à se connecter à ton SERVEUR, mais pas l'inverse.
Par contre, il faut savoir que netfilter traite les règles dans l'ordre où elles lui sont données. Dans le cas que tu donnes, à chaque paquet ESTABLISHED où RELATED qui passe par netfilter, celui teste d'abord si il correspond à ta règle SSH.
La bonne méthode est :
1) Configurer la politique de filtrage (iptables -P INPUT DROP)
2) Placer ensuite les règles 'lo', puisque ce sont des règles internes au noyau, cela fera gagner du temps en ne scannant pas toutes les règles.
3) Puis placer les règles 'ESTABLISHED,RELATED' en troisième.
4) Et enfin placer les règles pour les connexions 'NEW', donc ta règle autorisant SSH.
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#5 Le 24/11/2011, à 16:20
- melinameline
Re : Question Regles iptables input et output
tu peux voir de ce côté
tu trouvra un petit exemple assais interessant à la premiere reponce.
bonne chance
Hors ligne
#6 Le 26/11/2011, à 20:20
- mangue
Re : Question Regles iptables input et output
Bon j'ai vérifier, je n'avais pas activer le OUTPUT et le FORWARD en drop, et manifestement, j'ai bien fait.
Je vais donc configurer mes régles OUTPUT en même temps
Merci pour vos réponses !
ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.
Hors ligne
#7 Le 01/12/2011, à 15:02
- mangue
Re : Question Regles iptables input et output
Ok donc j'ai plante mon serveur a cause d'un iptables -F en ssh
Ensuite j'ai reconfigure mes regles iptables de facon a pouvoir passer mon OUTPUT en Drop, j'ai donc ajoute
iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT
et j'ai ensuite passe le FORWARD en DROP. Tout fonctionne je n'ai pas de soucis.
Par contre une question me taraude l'esprit, si j'avais fait :
iptables -A OUTPUT -p tcp --[b]dport[/b] ssh -j ACCEPT
Quelle difference cela aurait fait d'apres vous ?
ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.
Hors ligne
#8 Le 04/12/2011, à 13:00
- NooP
Re : Question Regles iptables input et output
Attention !
Le 'SOURCE PORT' est rarement à utiliser. La majorité des applications réseau créent un port source aléatoire > 1024. Les règles de filtrage s'appliquent TOUJOURS* sur le 'DESTINATION PORT'.
* Excepté quelques très rares cas ou tu auras besoin de travailler avec le port source
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#9 Le 07/12/2011, à 06:39
- mangue
Re : Question Regles iptables input et output
Merci Noop, et a tous pour vos reponses !
ASUS G75VW-T1042V, Toshiba Qosmio et Samsung T-230 LinuxMint 14-15 64bits
Serveur dédié Debian 6.0
Mon BlogNote : http://www.adminreseaux.net
S'il n'y a pas d'accent dans mon message, c'est que je l'ai écris du boulot, désolé.
Hors ligne
Pages : 1