suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
d'aide pour débuter. J'ai tenté ma chance sur la list de
netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.
j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
parefeu sur le master node. Naturellement le master doit accepter tout
ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
l'extérieur soit filtré à part qqs services comme ssh et http.
pour l'instant j'ai ça:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Firewall-1-INPUT - [0:0]
-A INPUT -j Firewall-1-INPUT
-A FORWARD -j Firewall-1-INPUT
#
#
-A INPUT -j Firewall-1-INPUT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
--name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
"SSH_brute_force "
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j DROP
#
#
-A Firewall-1-INPUT -i lo -j ACCEPT
#
# begin: allowed networks
# Intern Network
-A Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT
#
-A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -p esp -j ACCEPT
-A Firewall-1-INPUT -p ah -j ACCEPT
-A Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A Firewall-1-INPUT -j LOG
-A Firewall-1-INPUT -j DROP
COMMIT
Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
des idées...je suis preneur.
UNe autre question:
si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? dois
je mettre les mêmes rêgles ?
Merci d'avance,
BOnne journée
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/i6ckvh$51v$1@dough.gmane.org
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Merci pour tout!
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6oq5h$gti$
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Merci pour tout!
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/i6oq5h$gti$1@dough.gmane.org
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Merci pour tout!
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6oq5h$gti$
giggzounet
Le 14/09/2010 23:41, giggz a écrit :
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Merci pour tout!
J'ai trouvé un tuto en anglais vraiment bien expliqué sur iptables (c'est pas spécifique debian), je colle l'adresse: http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Bonne journée Guillaume
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6pu4g$9q6$
Le 14/09/2010 23:41, giggz a écrit :
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Merci pour tout!
J'ai trouvé un tuto en anglais vraiment bien expliqué sur iptables
(c'est pas spécifique debian), je colle l'adresse:
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 :
net.ipv4.conf.all.send_redirects
net.ipv4.conf.default.send_redirects
net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.secure_redirects
net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Bonne journée
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/i6pu4g$9q6$1@dough.gmane.org
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
ok super j'ai fait les modifs. je vais voir à l'usage.
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Merci pour tout!
J'ai trouvé un tuto en anglais vraiment bien expliqué sur iptables (c'est pas spécifique debian), je colle l'adresse: http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Bonne journée Guillaume
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6pu4g$9q6$
Pascal Hambourg
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de la machine, du réseau...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1, conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est juste sous-optimal. De toute façon il est rare qu'un réseau contienne plusieurs passerelles, donc la probabilité d'en recevoir est réduite. Comme les ICMP redirect peuvent être exploités par une machine du réseau local pour détourner du trafic, il peut être intéressant d'un point de vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de détourner du trafic dans un réseau local, notamment avec les attaques basées sur ARP qu'iptables ignore complètement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 :
net.ipv4.conf.all.send_redirects
net.ipv4.conf.default.send_redirects
net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.secure_redirects
net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
juste sous-optimal. De toute façon il est rare qu'un réseau contienne
plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
Comme les ICMP redirect peuvent être exploités par une machine du réseau
local pour détourner du trafic, il peut être intéressant d'un point de
vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
détourner du trafic dans un réseau local, notamment avec les attaques
basées sur ARP qu'iptables ignore complètement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4C90D8AB.7050105@plouf.fr.eu.org
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de la machine, du réseau...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1, conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est juste sous-optimal. De toute façon il est rare qu'un réseau contienne plusieurs passerelles, donc la probabilité d'en recevoir est réduite. Comme les ICMP redirect peuvent être exploités par une machine du réseau local pour détourner du trafic, il peut être intéressant d'un point de vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de détourner du trafic dans un réseau local, notamment avec les attaques basées sur ARP qu'iptables ignore complètement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
giggzounet
Le 15/09/2010 16:31, Pascal Hambourg a écrit :
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de la machine, du réseau...
je vouslais dire: j'en teste une première (600/min) et si ça passe je laisse sinon je mets 300/min...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1, conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est juste sous-optimal. De toute façon il est rare qu'un réseau contienne plusieurs passerelles, donc la probabilité d'en recevoir est réduite. Comme les ICMP redirect peuvent être exploités par une machine du réseau local pour détourner du trafic, il peut être intéressant d'un point de vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de détourner du trafic dans un réseau local, notamment avec les attaques basées sur ARP qu'iptables ignore complètement.
ok. merci pour l'explication. donc j'ai mis: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0
Bonne soirée, Guillaume
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6qoq6$61h$
Le 15/09/2010 16:31, Pascal Hambourg a écrit :
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...
je vouslais dire: j'en teste une première (600/min) et si ça passe je
laisse sinon je mets 300/min...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 :
net.ipv4.conf.all.send_redirects
net.ipv4.conf.default.send_redirects
net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.secure_redirects
net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
juste sous-optimal. De toute façon il est rare qu'un réseau contienne
plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
Comme les ICMP redirect peuvent être exploités par une machine du réseau
local pour détourner du trafic, il peut être intéressant d'un point de
vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
détourner du trafic dans un réseau local, notamment avec les attaques
basées sur ARP qu'iptables ignore complètement.
ok. merci pour l'explication. donc j'ai mis:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
Bonne soirée,
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/i6qoq6$61h$1@dough.gmane.org
Y a des règles pour définir les limites avec -m limit --limit ? ou alors c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de la machine, du réseau...
je vouslais dire: j'en teste une première (600/min) et si ça passe je laisse sinon je mets 300/min...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux variables modifiables via sysctl:
Pour l'instant les variables redirects sont à 1 : net.ipv4.conf.all.send_redirects net.ipv4.conf.default.send_redirects net.ipv4.conf.all.accept_redirects net.ipv4.conf.all.secure_redirects net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.secure_redirects
est ce intéressant de les mettre à 0 ?
Déjà, seule une machine fonctionnant en routeur (ip_forward=1, conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est juste sous-optimal. De toute façon il est rare qu'un réseau contienne plusieurs passerelles, donc la probabilité d'en recevoir est réduite. Comme les ICMP redirect peuvent être exploités par une machine du réseau local pour détourner du trafic, il peut être intéressant d'un point de vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de détourner du trafic dans un réseau local, notamment avec les attaques basées sur ARP qu'iptables ignore complètement.
ok. merci pour l'explication. donc j'ai mis: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0
Bonne soirée, Guillaume
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/i6qoq6$61h$
