est ce que je peut mettre ces 3 lignes
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie
précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
quebecforum
On Tue, 30 Sep 2003 18:45:29 +0000, Etienne SOBOLE wrote:
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
merci Etienne ne sachant pas ce que tu y a mis plus tot et non plus si tu as une ou deux
cartes reseau, je ne peux que te donner l'adresse pour voir le rc.firewall-stronger, un script pour linux utilisant 2 cartes reseaux.
j'espere que ceci pourra t'aider, il est quand meme asser bien documente, quoi que en anglais ;)
On Tue, 30 Sep 2003 18:45:29 +0000, Etienne SOBOLE wrote:
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie
précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
merci
Etienne
ne sachant pas ce que tu y a mis plus tot et non plus si tu as une ou deux
cartes reseau, je ne peux que te donner l'adresse pour voir le
rc.firewall-stronger, un script pour linux utilisant 2 cartes reseaux.
On Tue, 30 Sep 2003 18:45:29 +0000, Etienne SOBOLE wrote:
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
merci Etienne ne sachant pas ce que tu y a mis plus tot et non plus si tu as une ou deux
cartes reseau, je ne peux que te donner l'adresse pour voir le rc.firewall-stronger, un script pour linux utilisant 2 cartes reseaux.
j'espere que ceci pourra t'aider, il est quand meme asser bien documente, quoi que en anglais ;)
Eric Razny
"Etienne SOBOLE" a écrit dans le message de news:blcik9$vtg$
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
Ben... outre que tu ne donne aucun renseignement sur ton architecture (machine seule?-auquel cas FORWARD on s'en fout!- FW?) il manque les règles par défault (policies). On va supposer que tu as un DROP partout et tu as immédiatement un petit problème : ok pour continuer une connection déjà initiée, mais tu fais comment, là, pour l'initier? :)
Une connection établie au moment ou tu mets ces règles en oeuvre reste établie mais sans autorisation en OUTPUT après c'est mort!
Eric
"Etienne SOBOLE" <e.news@webshaker.net> a écrit dans le message de
news:blcik9$vtg$1@biggoron.nerim.net...
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie
précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
Ben... outre que tu ne donne aucun renseignement sur ton architecture
(machine seule?-auquel cas FORWARD on s'en fout!- FW?) il manque les règles
par défault (policies).
On va supposer que tu as un DROP partout et tu as immédiatement un petit
problème :
ok pour continuer une connection déjà initiée, mais tu fais comment, là,
pour l'initier? :)
Une connection établie au moment ou tu mets ces règles en oeuvre reste
établie mais sans autorisation en OUTPUT après c'est mort!
"Etienne SOBOLE" a écrit dans le message de news:blcik9$vtg$
salut. j'ai une question de sécurite!
est ce que je peut mettre ces 3 lignes iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
et considérer que puisque je n'ouvre que pour les connexion établie précedement, et bien il n'y aura pas de problème ?
pour peut que je filtre les etablisements de connexion !
Ben... outre que tu ne donne aucun renseignement sur ton architecture (machine seule?-auquel cas FORWARD on s'en fout!- FW?) il manque les règles par défault (policies). On va supposer que tu as un DROP partout et tu as immédiatement un petit problème : ok pour continuer une connection déjà initiée, mais tu fais comment, là, pour l'initier? :)
Une connection établie au moment ou tu mets ces règles en oeuvre reste établie mais sans autorisation en OUTPUT après c'est mort!
Eric
Etienne SOBOLE
Ok j'ai pas été clair.
supposons que je veuille simplement permettre a personne du réseau d'acceder au HTTP est ce que ce script et bon ?
en fait la question c'est surtout de savoir si l'ouverture de reponse TCPIP sur tous les port est source de problème...
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
Si tu veux tebaser sur les états les lignes suivantes peuvent être utile iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ce ne serait pas plutôt des -A au lieu des -I???
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
### HTTP iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Les états ESTABLISHED et RELATED sont inutiles car tu les as déjà autorisé plus haut.
Donc, soit sans état, soit en NEW uniquement.
Rajouter le FORWARD du DNS car je suppose que la personne sur ton réseau ne connaisse pas toutes les IP de tous les sites auquels elle veut acceder par coeur... iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -m state --state NEW -j ACCEPT ou plus simplement iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -j ACCEPT
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Si tu veux tebaser sur les états les lignes suivantes peuvent être utile
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ce ne serait pas plutôt des -A au lieu des -I???
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
### HTTP
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
Les états ESTABLISHED et RELATED sont inutiles car tu les as déjà autorisé
plus haut.
Donc, soit sans état, soit en NEW uniquement.
Rajouter le FORWARD du DNS car je suppose que la personne sur ton réseau ne
connaisse pas toutes les IP de tous les sites auquels elle veut acceder par
coeur...
iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -m state --state NEW
-j ACCEPT
ou plus simplement
iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -j ACCEPT
### DNS
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
Si tu veux tebaser sur les états les lignes suivantes peuvent être utile iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ce ne serait pas plutôt des -A au lieu des -I???
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
### HTTP iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Les états ESTABLISHED et RELATED sont inutiles car tu les as déjà autorisé plus haut.
Donc, soit sans état, soit en NEW uniquement.
Rajouter le FORWARD du DNS car je suppose que la personne sur ton réseau ne connaisse pas toutes les IP de tous les sites auquels elle veut acceder par coeur... iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -m state --state NEW -j ACCEPT ou plus simplement iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -j ACCEPT
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
iptables -A FORWARD -i eth0 -o ppp0 -j DROP iptables -A FORWARD -o eth0 -i ppp0 -j DROP
Ces deux lignes sont inutiles, c'est déjà précisé dans ta policy...
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j MASQUERADE
iptables -A FORWARD -i ppp0 -j DROP iptables -A INPUT -i ppp0 -j DROP iptables -A OUTPUT -o ppp0 -j DROP
Pourquoi précises tu les intefaces ici???
Vincent.
Jonathan ILIAS
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT AMA, il faut utiliser du stateful ici. J'ai chez moi de nombreuses
tentatives d'attaque sur divers services en utilisant le port 53 sur la machine hostile. Autant dire qu'avec ces règles, le firewall est complètement inefficace.
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
HTH
PS : cela dit, je suis quelque peu novice en la matière, quelqu'un de plus expérimenté pourra peut-être confirmer ou non. -- Jonathan ILIAS
### DNS
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
AMA, il faut utiliser du stateful ici. J'ai chez moi de nombreuses
tentatives d'attaque sur divers services en utilisant le port 53 sur la
machine hostile. Autant dire qu'avec ces règles, le firewall est
complètement inefficace.
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
HTH
PS : cela dit, je suis quelque peu novice en la matière, quelqu'un de
plus expérimenté pourra peut-être confirmer ou non.
--
Jonathan ILIAS
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT AMA, il faut utiliser du stateful ici. J'ai chez moi de nombreuses
tentatives d'attaque sur divers services en utilisant le port 53 sur la machine hostile. Autant dire qu'avec ces règles, le firewall est complètement inefficace.
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
HTH
PS : cela dit, je suis quelque peu novice en la matière, quelqu'un de plus expérimenté pourra peut-être confirmer ou non. -- Jonathan ILIAS
ben64
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins l'UDP est majoritairement utilisé (cf RFC 1035)
### DNS
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes
DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins
l'UDP est majoritairement utilisé (cf RFC 1035)
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins l'UDP est majoritairement utilisé (cf RFC 1035)
Cedric Blancher
Dans sa prose, Jonathan ILIAS nous ecrivait :
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ça me semble bizarre comme règles. Tu héberges un serveur DNS pour avoir des règles en INPUT avec un --dport 53 ?
-- BOFH excuse #211:
Lightning strikes.
Dans sa prose, Jonathan ILIAS nous ecrivait :
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ça me semble bizarre comme règles. Tu héberges un serveur DNS pour
avoir des règles en INPUT avec un --dport 53 ?
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ça me semble bizarre comme règles. Tu héberges un serveur DNS pour avoir des règles en INPUT avec un --dport 53 ?
-- BOFH excuse #211:
Lightning strikes.
Eric Razny
"ben64" a écrit dans le message de news:3f7bd8ae$0$10439$
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins l'UDP est majoritairement utilisé (cf RFC 1035)
Afin d'en finir avec cette règle UDP only, re-dénoncée il y a peu par Nicob, j'ai mis suffisament de MX dans le domaine cleomail.com pour forcer le passage en TCP. Merci de ne pas abuser avec, de toute façon je vire ça d'ici quelques semaines/mois.
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer" aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage "normal"[1] pour une requète DNS.
Attention, je ne me suis pas fait emm... à faire les PTR qui vont bien.
Eric.
[1] Si tu gère ton propre serveur et qu'il ne doit pas générer de TCP pour sa zone tu peux bloquer les TCP sauf pour les IP qui sont autorisée à transférer, par exemple.
"ben64" <b.camredonnews@semlor.net> a écrit dans le message de
news:3f7bd8ae$0$10439$626a54ce@news.free.fr...
### DNS
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes
DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins
l'UDP est majoritairement utilisé (cf RFC 1035)
Afin d'en finir avec cette règle UDP only, re-dénoncée il y a peu par Nicob,
j'ai mis suffisament de MX dans le domaine cleomail.com pour forcer le
passage en TCP.
Merci de ne pas abuser avec, de toute façon je vire ça d'ici quelques
semaines/mois.
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer"
aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage
"normal"[1] pour une requète DNS.
Attention, je ne me suis pas fait emm... à faire les PTR qui vont bien.
Eric.
[1] Si tu gère ton propre serveur et qu'il ne doit pas générer de TCP pour
sa zone tu peux bloquer les TCP sauf pour les IP qui sont autorisée à
transférer, par exemple.
"ben64" a écrit dans le message de news:3f7bd8ae$0$10439$
### DNS iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
Tu veux vraiment autoriser le transfert de zone DNS???
Il n'y a pas que le transfert de zone qui se fait en TCP. Les requêtes DNS peuvent se faire en TCP si elles sont de grandes tailles. Néanmoins l'UDP est majoritairement utilisé (cf RFC 1035)
Afin d'en finir avec cette règle UDP only, re-dénoncée il y a peu par Nicob, j'ai mis suffisament de MX dans le domaine cleomail.com pour forcer le passage en TCP. Merci de ne pas abuser avec, de toute façon je vire ça d'ici quelques semaines/mois.
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer" aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage "normal"[1] pour une requète DNS.
Attention, je ne me suis pas fait emm... à faire les PTR qui vont bien.
Eric.
[1] Si tu gère ton propre serveur et qu'il ne doit pas générer de TCP pour sa zone tu peux bloquer les TCP sauf pour les IP qui sont autorisée à transférer, par exemple.
Nicob
On Thu, 02 Oct 2003 16:26:14 +0000, Eric Razny wrote:
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer" aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage "normal"[1] pour une requète DNS.
Un autre exemple :
http://www.minilien.com/?QYkGKD74em
Btw, la taille maximale des données dans un paquet DNS (en UDP) n'est plus 512. Jetez un oeil à la section 4.1.4 du RFC 1035 et à EDNS0 pour les détails.
Nicob [Merci au contributeur anonyme de la zone "zarb.invalid"]
On Thu, 02 Oct 2003 16:26:14 +0000, Eric Razny wrote:
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer"
aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage
"normal"[1] pour une requète DNS.
Un autre exemple :
http://www.minilien.com/?QYkGKD74em
Btw, la taille maximale des données dans un paquet DNS (en UDP) n'est
plus 512. Jetez un oeil à la section 4.1.4 du RFC 1035 et à EDNS0
pour les détails.
Nicob
[Merci au contributeur anonyme de la zone "zarb.invalid"]
On Thu, 02 Oct 2003 16:26:14 +0000, Eric Razny wrote:
En attendant ça permettra à ceux qui en ont marre de se répéter de "montrer" aux récalcitrants qu'il *faut* laisser passer UDP et TCP en usage "normal"[1] pour une requète DNS.
Un autre exemple :
http://www.minilien.com/?QYkGKD74em
Btw, la taille maximale des données dans un paquet DNS (en UDP) n'est plus 512. Jetez un oeil à la section 4.1.4 du RFC 1035 et à EDNS0 pour les détails.
Nicob [Merci au contributeur anonyme de la zone "zarb.invalid"]
