IPTABLE - Comment optimiser les règles ?

Le
www.CONTACTMOI.com
Bonjour,

Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH).

Les règles implémentées sont celles de base mais j'avoue ne pas savoir
quoi ajouter ou retirer

Ci-dessous mes règles

Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?

Merci pour votre aide,

Cordialement,

André



______________Règles du pare-feu________________________________

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



________________________
http://www.contactmoi.com
Rencontres sur Internet

  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
marcus
Le #579656
"www.CONTACTMOI.com" news:4117ba60$0$4341$

Bonjour,
bonsoir,


Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez
OVH).

bravo :-)

Les règles implémentées sont celles de base... mais j'avoue ne pas savoir
quoi ajouter ou retirer...
ah bon ...


Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?
ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,

web, ftp, web sécurisé, serveur d'envoi et de reception du courrier !
Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.

je te conseille de taper "port 10000" dans google ... juste pour voir.


Merci pour votre aide,


de rien.

pour comprendre un peu iptables : http://christian.caleca.free.fr/

Tibo
Le #579468
"www.CONTACTMOI.com" news:4117ba60$0$4341$

Bonjour,

Bonjour.


Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez
OVH).


Les règles implémentées sont celles de base... mais j'avoue ne pas savoir
quoi ajouter ou retirer...

Ci-dessous mes règles...

Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?




Je n'ai pas regardé d'erreurs, mais une chose que tu peux faire pour
optimiser, c'est créer une chaîne utilisateur (user chain) pour améliorer le
traitement de tes paquets.

En effet, dans tes règles, si tu reçois bcp de paquets ICMP (ce qui est le
cas dans la vie réelle), ton paquet doit être comparé à HUIT règles TCP
(pour lesquelles on s'en fout finalement, puisque ton paquet est ICMP !),
avant de finalement pouvoir être comparé aux règles ICMP.

Une solution pourrait être de mettre les règles TCP après les règles ICMP.
Mais le problème serait le même pour les paquets TCP (quoique moins
important).

Une solution plus fine consiste à rediriger l'analyse de tes paquets TCP
vers une sous-chaîne.
Du genre :

Chain INPUT (policy REJECT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
Input_TCP tcp -- anywhere anywhere
Input_ICMP icmp -- anywhere anywhere
DROP all -- anywhere anywhere

Chain Input_TCP
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000

Chain Input_ICMP
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere

Comme ça, seuls les paquets TCP seront examinés par toutes les règles TCP et
pareil pour l'ICMP (je l'ai fait pour la forme, mais en réalité, il y a si
peu de règles ICMP que c'est inutile selon moi).
D'autre part, il est bien de mettre les polices des chaines par défaut à
REJECT.

Merci pour votre aide


Padoikoi, j'attends tes réactions.

Annie D.
Le #579467
Tibo wrote:

D'autre part, il est bien de mettre les polices des chaines par défaut à
REJECT.


Pas possible, les seules cibles par défaut valides sont ACCEPT et DROP.

Personnellement, pour un serveur j'aurais été beaucoup plus stricte en
sortie. Pour la conformité aux standards j'aurais remplacé le DROP final
par des REJECT avec réponse adaptée (TCP RST pour TCP excepté RST, port
unreachable pour UDP, protocol unreachable pour les autres protocoles
excepté ICMP). J'aurais aussi accepté les ICMP echo request de partout
car c'est un outil de diagnostic utile injustement diabolisé. Le tout
éventuellement avec des limites de concordance (match limit).

Nicolas Favre-Felix
Le #579283
Bonjour,



Bonsoir

Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez
OVH).
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir
quoi ajouter ou retirer...
ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,

web, ftp, web sécurisé, serveur d'envoi et de reception du courrier !
Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.


Les serveurs dédiés d'OVH disposent souvent de Webmin, qui tourne en SSL
sur le port 10000...
Pour y accéder, il vaut mieux laisser le ACCEPT


Poster une réponse
Anonyme