Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Salut,
Julien Arlandis a écrit :
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Qu'as-tu fait pour bloquer les autres connexions ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Marchera pas : le noyau empêche de se connecter à 127.0.0.0/8 depuis
l'extérieur, même suite à une redirection DNAT.
Salut,
Julien Arlandis a écrit :
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Qu'as-tu fait pour bloquer les autres connexions ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Marchera pas : le noyau empêche de se connecter à 127.0.0.0/8 depuis
l'extérieur, même suite à une redirection DNAT.
Salut,
Julien Arlandis a écrit :
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable j'ai
exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port 8000 -m
state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m state
--state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine, quelle
en est la cause ?
Qu'as-tu fait pour bloquer les autres connexions ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Marchera pas : le noyau empêche de se connecter à 127.0.0.0/8 depuis
l'extérieur, même suite à une redirection DNAT.
Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Le Sun, 31 Aug 14 09:04:26 +0000
Julien Arlandis a écrit :Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
autorisé. Il faut préciser la politique par défaut en entrée, en plus
de tes règles d'autorisation :
iptables -P INPUT DROP
Tu peux vérifier ce qui est fixé avec "iptables -L".
Il est possible de fixer aussi les politiques par défaut pour les
connexions sortantes (OUTPUT) et les redirections (? : je ne sais pas
ce que c'est) (FORWARD).
Attention, si tu interdis toutes les autres connexions en sortie tu ne
pourras plus ouvrir de connexions depuis cette machine. Si c'est un
serveur il se peut que ce soit correct (attention quand même pour les
mises à jour, l'accès aux serveurs de temps, ce genre de choses), pour
un poste client ce n'est sans doute pas ce que tu veux.Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Là je ne sais pas.
Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
redirection dessus. Que veux-tu faire exactement ? Pouvoir couper les
connexions depuis l'extérieur via le pare-feu ? Si tu supprimes la
règle d'autorisation, tu obtiens le même résultat, non ?
Le Sun, 31 Aug 14 09:04:26 +0000
Julien Arlandis <julien.arlandis@laposte.net> a écrit :
Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
autorisé. Il faut préciser la politique par défaut en entrée, en plus
de tes règles d'autorisation :
iptables -P INPUT DROP
Tu peux vérifier ce qui est fixé avec "iptables -L".
Il est possible de fixer aussi les politiques par défaut pour les
connexions sortantes (OUTPUT) et les redirections (? : je ne sais pas
ce que c'est) (FORWARD).
Attention, si tu interdis toutes les autres connexions en sortie tu ne
pourras plus ouvrir de connexions depuis cette machine. Si c'est un
serveur il se peut que ce soit correct (attention quand même pour les
mises à jour, l'accès aux serveurs de temps, ce genre de choses), pour
un poste client ce n'est sans doute pas ce que tu veux.
Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Là je ne sais pas.
Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
redirection dessus. Que veux-tu faire exactement ? Pouvoir couper les
connexions depuis l'extérieur via le pare-feu ? Si tu supprimes la
règle d'autorisation, tu obtiens le même résultat, non ?
Le Sun, 31 Aug 14 09:04:26 +0000
Julien Arlandis a écrit :Bonjour,
Je voudrais filtrer les connexions entrantes sur le port 8000 à
l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
j'ai exécuté les commandes suivantes :
sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000 -m
state --state ESTABLISHED -j ACCEPT
Mais le port 8000 reste accessible depuis n'importe quelle machine,
quelle en est la cause ?
Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
autorisé. Il faut préciser la politique par défaut en entrée, en plus
de tes règles d'autorisation :
iptables -P INPUT DROP
Tu peux vérifier ce qui est fixé avec "iptables -L".
Il est possible de fixer aussi les politiques par défaut pour les
connexions sortantes (OUTPUT) et les redirections (? : je ne sais pas
ce que c'est) (FORWARD).
Attention, si tu interdis toutes les autres connexions en sortie tu ne
pourras plus ouvrir de connexions depuis cette machine. Si c'est un
serveur il se peut que ce soit correct (attention quand même pour les
mises à jour, l'accès aux serveurs de temps, ce genre de choses), pour
un poste client ce n'est sans doute pas ce que tu veux.Pour plus de sécurité je voudrais que le service n'écoute que sur l'ip
127.0.0.1, comment faire dans ce cas pour rediriger les connexions de
91.121.207.XX sur 127.0.0.1:8000 ?
Là je ne sais pas.
Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
redirection dessus. Que veux-tu faire exactement ? Pouvoir couper les
connexions depuis l'extérieur via le pare-feu ? Si tu supprimes la
règle d'autorisation, tu obtiens le même résultat, non ?
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
> Tu peux vérifier ce qui est fixé avec "iptables -L".
>
> Il est possible de fixer aussi les politiques par défaut pour les
> connexions sortantes (OUTPUT) et les redirections (? : je ne sais
> pas ce que c'est) (FORWARD).
>
> Attention, si tu interdis toutes les autres connexions en sortie tu
> ne pourras plus ouvrir de connexions depuis cette machine. Si c'est
> un serveur il se peut que ce soit correct (attention quand même
> pour les mises à jour, l'accès aux serveurs de temps, ce genre de
> choses), pour un poste client ce n'est sans doute pas ce que tu
> veux.
>
>
>> Pour plus de sécurité je voudrais que le service n'écoute que sur
>> l'ip 127.0.0.1, comment faire dans ce cas pour rediriger les
>> connexions de 91.121.207.XX sur 127.0.0.1:8000 ?
>
> Là je ne sais pas.
>
> Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
> redirection dessus. Que veux-tu faire exactement ? Pouvoir couper
> les connexions depuis l'extérieur via le pare-feu ? Si tu supprimes
> la règle d'autorisation, tu obtiens le même résultat, non ?
Ça me semble plus sécurisé dans le sens où même en cas de plantage de
iptables (mauvaise config ou autre) le service reste inaccessible de
l'extérieur.
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis <julien.arlandis@laposte.net> a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
> Tu peux vérifier ce qui est fixé avec "iptables -L".
>
> Il est possible de fixer aussi les politiques par défaut pour les
> connexions sortantes (OUTPUT) et les redirections (? : je ne sais
> pas ce que c'est) (FORWARD).
>
> Attention, si tu interdis toutes les autres connexions en sortie tu
> ne pourras plus ouvrir de connexions depuis cette machine. Si c'est
> un serveur il se peut que ce soit correct (attention quand même
> pour les mises à jour, l'accès aux serveurs de temps, ce genre de
> choses), pour un poste client ce n'est sans doute pas ce que tu
> veux.
>
>
>> Pour plus de sécurité je voudrais que le service n'écoute que sur
>> l'ip 127.0.0.1, comment faire dans ce cas pour rediriger les
>> connexions de 91.121.207.XX sur 127.0.0.1:8000 ?
>
> Là je ne sais pas.
>
> Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
> redirection dessus. Que veux-tu faire exactement ? Pouvoir couper
> les connexions depuis l'extérieur via le pare-feu ? Si tu supprimes
> la règle d'autorisation, tu obtiens le même résultat, non ?
Ça me semble plus sécurisé dans le sens où même en cas de plantage de
iptables (mauvaise config ou autre) le service reste inaccessible de
l'extérieur.
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
> Tu peux vérifier ce qui est fixé avec "iptables -L".
>
> Il est possible de fixer aussi les politiques par défaut pour les
> connexions sortantes (OUTPUT) et les redirections (? : je ne sais
> pas ce que c'est) (FORWARD).
>
> Attention, si tu interdis toutes les autres connexions en sortie tu
> ne pourras plus ouvrir de connexions depuis cette machine. Si c'est
> un serveur il se peut que ce soit correct (attention quand même
> pour les mises à jour, l'accès aux serveurs de temps, ce genre de
> choses), pour un poste client ce n'est sans doute pas ce que tu
> veux.
>
>
>> Pour plus de sécurité je voudrais que le service n'écoute que sur
>> l'ip 127.0.0.1, comment faire dans ce cas pour rediriger les
>> connexions de 91.121.207.XX sur 127.0.0.1:8000 ?
>
> Là je ne sais pas.
>
> Je ne vois pas tellement en quoi c'est plus sécurisé si tu fais une
> redirection dessus. Que veux-tu faire exactement ? Pouvoir couper
> les connexions depuis l'extérieur via le pare-feu ? Si tu supprimes
> la règle d'autorisation, tu obtiens le même résultat, non ?
Ça me semble plus sécurisé dans le sens où même en cas de plantage de
iptables (mauvaise config ou autre) le service reste inaccessible de
l'extérieur.
Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis <julien.arlandis@laposte.net> a écrit :
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis <julien.arlandis@laposte.net> a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Le 31/08/2014 à 12:29, Yliur a écrit :Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Le 31/08/2014 à 12:29, Yliur a écrit :
Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis <julien.arlandis@laposte.net> a écrit :
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis <julien.arlandis@laposte.net> a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Le 31/08/2014 à 12:29, Yliur a écrit :Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Le 31/08/2014 à 13:03, Julien Arlandis a écrit :Le 31/08/2014 à 12:29, Yliur a écrit :Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Ça a fini par marcher en faisant
sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
Merci.
Le 31/08/2014 à 13:03, Julien Arlandis a écrit :
Le 31/08/2014 à 12:29, Yliur a écrit :
Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis <julien.arlandis@laposte.net> a écrit :
Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis <julien.arlandis@laposte.net> a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Ça a fini par marcher en faisant
sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
Merci.
Le 31/08/2014 à 13:03, Julien Arlandis a écrit :Le 31/08/2014 à 12:29, Yliur a écrit :Le Sun, 31 Aug 14 09:40:19 +0000
Julien Arlandis a écrit :Le 31/08/2014 à 11:29, Yliur a écrit :
> Le Sun, 31 Aug 14 09:04:26 +0000
> Julien Arlandis a écrit :
>
>> Bonjour,
>>
>> Je voudrais filtrer les connexions entrantes sur le port 8000 à
>> l'exception de la machine ayant pour IP 91.121.207.XX, avec iptable
>> j'ai exécuté les commandes suivantes :
>>
>> sudo iptables -A INPUT -s 91.121.207.XX -p tcp --destination-port
>> 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
>>
>> sudo iptables -A OUTPUT -d 91.121.207.XX -p tcp --source-port 8000
>> -m state --state ESTABLISHED -j ACCEPT
>>
>> Mais le port 8000 reste accessible depuis n'importe quelle machine,
>> quelle en est la cause ?
>
> Tu n'as pas fixé la politique par défaut : par défaut tout est déjà
> autorisé. Il faut préciser la politique par défaut en entrée, en
> plus de tes règles d'autorisation :
> iptables -P INPUT DROP
Dans ce cas je voudrais bloquer seulement le port 8000, sinon je vais
perdre la connexion distante avec mon serveur.
Je n'ai sans doute pas bien compris ce que tu voulais faire,
excuse-moi...
Effectivement, toutes les connexions non explicitement autorisées
seront interdites. Il faudrait au moins autoriser ssh, sans se tromper.
Note que si je ne dis pas de bêtises si tu interdis d'établir une
connexion depuis l'extérieur ça ne casse pas ta connexion ssh en cours,
donc tu peux faire une vérification en tentant d'établir une autre
connexion depuis l'extérieur. Euh... mais vu que tu ne semble pas avoir
un accès physique à la machine, vérifie avant quand même.
En cas de redémarrage de la machine je crois qu'une sorte de
pseudo-démon iptables se charge de sauvegarder les règles quand la
machine s'éteint, mais je ne suis pas sûr et ça dépend sans doute de la
configuration du système, donc le fonctionnement chez moi n'est pas
forcément une bonne indication.
Pour ton filtre juste sur le port 8000, je pense qu'après ta règle qui
indique que les connexions sont acceptées tu peux écrire une autre
règle du genre :
sudo iptables -A INPUT --destination-port 8000 DROP
Merci. La syntaxe ne passe pas,
iptables v1.4.14: unknown option "--destination-port"
C'est pénible ces pertes de temps avec les manuels de commande...
Ça a fini par marcher en faisant
sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
Merci.
> Ça a fini par marcher en faisant
>
> sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
>
> Merci.
>
Mais maintenant je ne parviens plus à me connecter en local sur le
port 8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
> Ça a fini par marcher en faisant
>
> sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
>
> Merci.
>
Mais maintenant je ne parviens plus à me connecter en local sur le
port 8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
> Ça a fini par marcher en faisant
>
> sudo iptables -A INPUT -p tcp --destination-port 27017 -j DROP
>
> Merci.
>
Mais maintenant je ne parviens plus à me connecter en local sur le
port 8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
Mais maintenant je ne parviens plus à me connecter en local sur le port
8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
où me plantais-je ?
Mais maintenant je ne parviens plus à me connecter en local sur le port
8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
où me plantais-je ?
Mais maintenant je ne parviens plus à me connecter en local sur le port
8000.
J'ai pourtant rajouté
sudo iptables -A INPUT -s 127.0.0.1 -p tcp --destination-port
8000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -d 127.0.0.1 -p tcp --source-port 8000
-m state --state ESTABLISHED -j ACCEPT
où me plantais-je ?