iptables autorisation DNS, SSH et ping

Le
Tahar BEN ACHOUR
Bonjour à tous, Je voudrais mettre des règles iptables afin d'auto=
riser uniquement le trafic dns et ping sur une carte et sur l'autre l'acc=
ès ssh, je ne suis pas très sûr de mes règles donc je voudrais avoi=
r votre avis avant de les appliquer merci. Alors voilà, mes deu=
x cartes réseaux eth1 et eth2, eth2 étant l'interface publique qui va r=
ecevoir les requêtes DNS et ping et eth0 l'accès ssh #Politique p=
ar défaut deny all iptables -A INPUT -P DROP iptabels -A OUTPUT -P=
DROP iptables -A FORWARD -P DROP #Authorisation de SSH ipta=
bles -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m st=
ate --state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures ipt=
ables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #author=
isation du ping iptables -A INPUT -i eth1 -p icmp -j ACCEPT iptable=
s -A OUTPUT -i eth1 -p icmp -j ACCEPT #authorisation des requêtes DN=
S iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT iptables -=
A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT Voilà à peu près, j=
e ne sais pas vraiment si c'est bon ou non n'étant pas expert en la mati=
ère J'ai aussi trouvé en lisant sur le net l'utilisation des opti=
ons -t filter, est ce que c'est mieux de faire ça ? Quelle est la di=
fférence entre les règles ci-dessus et leur équivalent avec -t filter=
? #politique par défaut deny all iptables -t filter -A INPUT -=
P DROP iptabels -t filter -A OUTPUT -P DROP iptables -t filter -A FORWA=
RD -P DROP #Authorisation de SSH iptables -t filter -A INPUT -=
i eth0 -p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -m state=
--state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures iptabl=
es -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT =
#authorisation du ping iptables -A INPUT -i eth1 -p icmp -j ACCEPT =
iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT #authorisation des requ=
êtes DNS iptables -t filter -A INPUT -i eth1-p udp --dport 53 -j =
ACCEPT iptables -t filter -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT=
Merci beaucoup pour votre aide. Cdt

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/705731.75022.qm@web26307.mail.ukl.yahoo.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
sleepewig
Le #22192731
Bonjour,

Je repond a ta question sur "-t filter", par defaut iptables est mise
par defaut dessus donc cela change rien si tu le renseigne ou non, il
faut le renseigner que si tu change de tables
iptables --help
--table -t table table to manipulate (default: `filter')

Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie :

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

# et ajouter pour les requete dns
iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT

Si tu veux autorise que le ping :

iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT


Et si tu selection par interface : "-i" pour la chaine INPUT "-o" pour
OUTPUT.

Voila esperant t'avoir aide.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stephane Bortzmeyer
Le #22195861
On Mon, May 31, 2010 at 08:14:52AM +0000,
Tahar BEN ACHOUR a message of 39 lines which said:

#authorisation des requêtes DNS

iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT



Il manque aussi les mêmes, mais avec TCP.

PS : utiliser un logiciel comme Shorewall
quand même les choses.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22198901
Tahar BEN ACHOUR a écrit :

Alors voilà, mes deux cartes réseaux eth1 et eth2, eth2 étant
l'interface publique qui va recevoir les requêtes DNS et ping et eth0
l'accès ssh

#Politique par défaut deny all

iptables -A INPUT -P DROP
iptabels -A OUTPUT -P DROP
iptables -A FORWARD -P DROP

#Authorisation de SSH

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures



Qué coupures ? Cette règle, ainsi que la suivante, dites de "suivi de
connexion", servent à ne pas se préoccuper de la suite de la connexion
une fois le premier paquet accepté.

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#authorisation du ping



Pas de "h" en français.

iptables -A INPUT -i eth1 -p icmp -j ACCEPT



Trop laxiste, ça accepte tous les ICMP et pas seulement le ping (ICMP
echo). Cf. la réponse de sleepewig.

iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT



Inutile, la règle de suivi de connexion s'en occupe déjà.

#authorisation des requêtes DNS

iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT



Accepter aussi en TCP, cf. la réponse de Stéphane.

iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT



Cette règle accepte les requêtes DHCP sortantes, ce n'est pas ce qui été
décrit plus haut.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22199011
sleepewig a écrit :

Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie :



La règle de suivi de connexion en OUTPUT est déjà présente, pas besoin
d'autre chose.

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT



Surtout pas, ça accepte n'importe quoi vers n'importe où du moment que
c'est émis depuis le port 22 ! (d'accord pour utiliser ce port source il
faut être root et si on est root on peut changer les règles, mais c'est
pas une raison)

# et ajouter pour les requete dns
iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT



Surtout pas : jamais de règles basées uniquement sur le port source pour
accepter les réponses, ce n'est pas fiable. Utiliser plutôt le suivi de
connexion.

Si tu veux autorise que le ping :

iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT



Ça ce serait pour le ping en sortie (réponse entrante), ce qui n'est pas
demandé. Inutile dans le cas contraire car la règle de suivi de
connexion s'en occupe déjà.

iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT



Oui.

iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT



Inutile, la règle de suivi de connexion s'en occupe déjà.

iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT



Ça ce serait pour le ping en sortie, ce qui n'est pas demandé.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme