iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPTiptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement
des
connections et pas des connexion elles meme.
Les deuxièmes et troisièmes règles sont un filtrage (le filtre laisse
passer). Tu filtre donc bien les "connexion elles meme" selon ton
expression.
Elles sont nécessaires si tu veux laisser passer les paquets ESTABLISHED
et
RELATED dans les deux sens.
(à noter comme il n'y a pas de FORWARD je suppose que tu as ton serveur
ftp
sur ton FW, c'est "mal" :) [1]
Accessoirement tu peux préciser les interfaces si tu as un FW multipattes
(mais tu peux simplement filtrer sur le serveur lui même).ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
c'est plus complexe que ça (enfin si je comprends ta question, je n'en
suis
pas sur!)
Ta première règle permet l'établissement d'une connexion (supposée ftp
mais
rien n'est sur!) de l'extérieur, en tcp sur le port 21 de ta machine.
A noter le --syn qui n'est pas redondant avec le NEW.
Une fois la connexion établie c'est la gestion *statefull* du FW *avec* le
module de suivi ftp qui va assurer dynamiquement l'autorisation
d'ouverture
des ports.
Attention : si d'autres modules sont chargés et que d'autres règles
permettent d'initier des connexion ces deux règles laisseront passer les
paquets correspondants aussi.donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED
Ben ce n'est pas ça non plus.
(--sport ou --dport dans ton exemple suivant un ftp actif ou passif)
Si tu te contente des règles 2 & 3 tu laisse passer toutes les connexion
établies ou gérées par un module du FW. Or il se peut que tu veuille être
plus restrictif (ex : IPs ou heures particulières pour accéder au ftp par
exemple). Dans ce cas tu vas ajouter des infos sur le port (dans le cas du
ftp pense au mode actif et au mode passif, ça fait deux séries de règles)
et
tu continueras avec d'autres règles pour les autres services.
Le mieux je pense est de faire un tour sur les tutorials du site de
netfilter, où des exemples simples et progressifs sont donnés.
(important : pour comprendre les règles il faut aussi comprendre un
minimum
le fonctionnement des couches réseau filtrées et des protocoles utilisés).
Eric
[1] ou tu ajoute une couche de netfilter sur ton serveur ftp, c'est mieux
:)
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement
des
connections et pas des connexion elles meme.
Les deuxièmes et troisièmes règles sont un filtrage (le filtre laisse
passer). Tu filtre donc bien les "connexion elles meme" selon ton
expression.
Elles sont nécessaires si tu veux laisser passer les paquets ESTABLISHED
et
RELATED dans les deux sens.
(à noter comme il n'y a pas de FORWARD je suppose que tu as ton serveur
ftp
sur ton FW, c'est "mal" :) [1]
Accessoirement tu peux préciser les interfaces si tu as un FW multipattes
(mais tu peux simplement filtrer sur le serveur lui même).
ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
c'est plus complexe que ça (enfin si je comprends ta question, je n'en
suis
pas sur!)
Ta première règle permet l'établissement d'une connexion (supposée ftp
mais
rien n'est sur!) de l'extérieur, en tcp sur le port 21 de ta machine.
A noter le --syn qui n'est pas redondant avec le NEW.
Une fois la connexion établie c'est la gestion *statefull* du FW *avec* le
module de suivi ftp qui va assurer dynamiquement l'autorisation
d'ouverture
des ports.
Attention : si d'autres modules sont chargés et que d'autres règles
permettent d'initier des connexion ces deux règles laisseront passer les
paquets correspondants aussi.
donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED
Ben ce n'est pas ça non plus.
(--sport ou --dport dans ton exemple suivant un ftp actif ou passif)
Si tu te contente des règles 2 & 3 tu laisse passer toutes les connexion
établies ou gérées par un module du FW. Or il se peut que tu veuille être
plus restrictif (ex : IPs ou heures particulières pour accéder au ftp par
exemple). Dans ce cas tu vas ajouter des infos sur le port (dans le cas du
ftp pense au mode actif et au mode passif, ça fait deux séries de règles)
et
tu continueras avec d'autres règles pour les autres services.
Le mieux je pense est de faire un tour sur les tutorials du site de
netfilter, où des exemples simples et progressifs sont donnés.
(important : pour comprendre les règles il faut aussi comprendre un
minimum
le fonctionnement des couches réseau filtrées et des protocoles utilisés).
Eric
[1] ou tu ajoute une couche de netfilter sur ton serveur ftp, c'est mieux
:)
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPTiptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement
des
connections et pas des connexion elles meme.
Les deuxièmes et troisièmes règles sont un filtrage (le filtre laisse
passer). Tu filtre donc bien les "connexion elles meme" selon ton
expression.
Elles sont nécessaires si tu veux laisser passer les paquets ESTABLISHED
et
RELATED dans les deux sens.
(à noter comme il n'y a pas de FORWARD je suppose que tu as ton serveur
ftp
sur ton FW, c'est "mal" :) [1]
Accessoirement tu peux préciser les interfaces si tu as un FW multipattes
(mais tu peux simplement filtrer sur le serveur lui même).ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
c'est plus complexe que ça (enfin si je comprends ta question, je n'en
suis
pas sur!)
Ta première règle permet l'établissement d'une connexion (supposée ftp
mais
rien n'est sur!) de l'extérieur, en tcp sur le port 21 de ta machine.
A noter le --syn qui n'est pas redondant avec le NEW.
Une fois la connexion établie c'est la gestion *statefull* du FW *avec* le
module de suivi ftp qui va assurer dynamiquement l'autorisation
d'ouverture
des ports.
Attention : si d'autres modules sont chargés et que d'autres règles
permettent d'initier des connexion ces deux règles laisseront passer les
paquets correspondants aussi.donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED
Ben ce n'est pas ça non plus.
(--sport ou --dport dans ton exemple suivant un ftp actif ou passif)
Si tu te contente des règles 2 & 3 tu laisse passer toutes les connexion
établies ou gérées par un module du FW. Or il se peut que tu veuille être
plus restrictif (ex : IPs ou heures particulières pour accéder au ftp par
exemple). Dans ce cas tu vas ajouter des infos sur le port (dans le cas du
ftp pense au mode actif et au mode passif, ça fait deux séries de règles)
et
tu continueras avec d'autres règles pour les autres services.
Le mieux je pense est de faire un tour sur les tutorials du site de
netfilter, où des exemples simples et progressifs sont donnés.
(important : pour comprendre les règles il faut aussi comprendre un
minimum
le fonctionnement des couches réseau filtrées et des protocoles utilisés).
Eric
[1] ou tu ajoute une couche de netfilter sur ton serveur ftp, c'est mieux
:)
# ces regles la ouvrent : le FTP, le HTTP et le SSH pour qu'un client
puisse se connecter sur le serveur (tu as raison, le FW est sur la meme
machine)
iptables -I INPUT -i ppp0 -p tcp --dport 21 --syn -m state --state NEW
-j ACCEPT
iptables -I INPUT -i ppp0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# et la on ferme tous les autres ports !!!
iptables -A FORWARD -i ppp0 -j DROP
iptables -A INPUT -i ppp0 -j DROP
iptables -A OUTPUT -o ppp0 -j DROP
donc ca, c'est un configuration correcte ?!? non ???
(j'ai pas mis le NAT ni le reste)
PS : --syn ca sert a quoi ?
PS2 : ca veut dire quoi ajouter une couche netfilter ???
# ces regles la ouvrent : le FTP, le HTTP et le SSH pour qu'un client
puisse se connecter sur le serveur (tu as raison, le FW est sur la meme
machine)
iptables -I INPUT -i ppp0 -p tcp --dport 21 --syn -m state --state NEW
-j ACCEPT
iptables -I INPUT -i ppp0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# et la on ferme tous les autres ports !!!
iptables -A FORWARD -i ppp0 -j DROP
iptables -A INPUT -i ppp0 -j DROP
iptables -A OUTPUT -o ppp0 -j DROP
donc ca, c'est un configuration correcte ?!? non ???
(j'ai pas mis le NAT ni le reste)
PS : --syn ca sert a quoi ?
PS2 : ca veut dire quoi ajouter une couche netfilter ???
# ces regles la ouvrent : le FTP, le HTTP et le SSH pour qu'un client
puisse se connecter sur le serveur (tu as raison, le FW est sur la meme
machine)
iptables -I INPUT -i ppp0 -p tcp --dport 21 --syn -m state --state NEW
-j ACCEPT
iptables -I INPUT -i ppp0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# et la on ferme tous les autres ports !!!
iptables -A FORWARD -i ppp0 -j DROP
iptables -A INPUT -i ppp0 -j DROP
iptables -A OUTPUT -o ppp0 -j DROP
donc ca, c'est un configuration correcte ?!? non ???
(j'ai pas mis le NAT ni le reste)
PS : --syn ca sert a quoi ?
PS2 : ca veut dire quoi ajouter une couche netfilter ???
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Par défaut, tu acceptes en INPUT et OUTPUT tous les paquets ESTABLISHED,
RELATED ....
Donc, par la suite si tu ne veux pas de paquets ICMP RELATED, t'es obligé
de le rajouter à la main.
Non ???
C'est décidément trop compliqué de rediriger vers les bons groupes :o(
Facile, tu rediriges vers fr.comp.erwan.david. :))
Par défaut, tu acceptes en INPUT et OUTPUT tous les paquets ESTABLISHED,
RELATED ....
Donc, par la suite si tu ne veux pas de paquets ICMP RELATED, t'es obligé
de le rajouter à la main.
Non ???
C'est décidément trop compliqué de rediriger vers les bons groupes :o(
Facile, tu rediriges vers fr.comp.erwan.david. :))
Par défaut, tu acceptes en INPUT et OUTPUT tous les paquets ESTABLISHED,
RELATED ....
Donc, par la suite si tu ne veux pas de paquets ICMP RELATED, t'es obligé
de le rajouter à la main.
Non ???
C'est décidément trop compliqué de rediriger vers les bons groupes :o(
Facile, tu rediriges vers fr.comp.erwan.david. :))