linux securite freebox ?

Bonsoir

J'ai la config suivante
- Une freeBox en mode routeur avec redirection du port 80 sur une
machine interne
- Une machine linux avec apache

En terme de securite externe, tout passe par la freebox
ce que je vois c'est arreter tous les services inutiles et fermer tous
les ports que je ne connais pas sur mon serveur.
Par contre iptable et netfilter me sont ils d'un interet, car je dois
accepter les http provenant d'internet

oui, avec iptables block tout ce qui arrive et ouvre seulement le 80
un peu de tunning pour ton lan aussi si tu veux acceder à d'autres services

je vais donc rajouter ceci

iptables -t filter -F
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED --jump
ACCEPT
iptables -t filter -A INPUT --protocol tcp --destination-port 80 --jump
ACCEPT
iptables -t filter -A INPUT -m state --state NEW,INVALID --jump DROP

il faut que je trouve le port de sftp pour les mise a jour du site

Philippe

je vais donc rajouter ceci

iptables -t filter -F
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED --jump
ACCEPT
iptables -t filter -A INPUT --protocol tcp --destination-port 80 --jump
ACCEPT
iptables -t filter -A INPUT -m state --state NEW,INVALID --jump DROP

il faut que je trouve le port de sftp pour les mise a jour du site

Philippe

grep sftp /etc/services
sftp 115/tcp

Salut,

il faut que je trouve le port de sftp pour les mise a jour du site

grep sftp /etc/services
sftp 115/tcp

Ça dépend de quel SFTP on parle : "Simple File Transfert Protocol" qui
utilise effectivement le port TCP 115, ou "SSH (ou Secure) File Transfer
Protocol", qui fonctionne sur SSH et son port TCP 22.

Bonjour,

je parle de SFTP pour faire le transfert de fichier
je vais partir du script suivant
http://taltan.free.fr/index/2006/06/08/21-netfilter-scripts-de-configuratio n-iptables

auquel je vais rajouter le port 115, ainsi que les port SAMBA mais
uniquement pour le resau local, ce dernier service n'etant monte que
tres occasionnelement

if [ "$SAMBA" == "1" ]; then
echo " + Serveur SSH actif"
# EPMAP => définit toutes les RPC !
iptables -A INPUT -m state --state NEW -p TCP --dport 135 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 135 -j ACCEPT -s
192.168.0.0/24,

# NetBios-NS
iptables -A INPUT -m state --state NEW -p TCP --dport 137 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 137 -j ACCEPT -s
192.168.0.0/24,
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)

iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT -s
192.168.0.0/24,
# NetBios-SSN => partage fichiers, imprimantes par Microsoft

iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT -s
192.168.0.0/24, et

# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 445 -j ACCEPT -s
192.168.0.0/24.
else
echo " + Samba desactive"
fi


Autorise l'acces au serveur SFTP local depuis l'internet
if [ "$SFTP" == "1" ]; then
echo " + Serveur SSH actif"
iptables -A INPUT -i $LAN_ETH -d $LAN_IP -p tcp --dport $SFTP_PORT -m
state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o $LAN_ETH -s $LAN_IP -p tcp --sport $SFTP_PORT -m
state --state ESTABLISHED,RELATED -j ACCEPT
else
echo " + Serveur SFTP desactive"
fi

je parle de SFTP pour faire le transfert de fichier

Ça n'aide pas beaucoup dans la mesure ou les deux protocoles servent à
faire du transfert de fichiers. Tu peux vérifier avec "netstat -tnl" sur
le serveur si les ports 22 et/ou 115 sont ouverts en écoute.

je vais partir du script suivant
http://taltan.free.fr/index/2006/06/08/21-netfilter-scripts-de-configuration-iptables

auquel je vais rajouter le port 115, ainsi que les port SAMBA mais
uniquement pour le resau local, ce dernier service n'etant monte que
tres occasionnelement

if [ "$SAMBA" == "1" ]; then
echo " + Serveur SSH actif"

Rapport de Samba avec SSH ?

# EPMAP => définit toutes les RPC !
iptables -A INPUT -m state --state NEW -p TCP --dport 135 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 135 -j ACCEPT -s
192.168.0.0/24,

# NetBios-NS
iptables -A INPUT -m state --state NEW -p TCP --dport 137 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 137 -j ACCEPT -s
192.168.0.0/24,
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)

iptables -A INPUT -m state --state NEW -p UDP --dport 138 -j ACCEPT -s
192.168.0.0/24,
# NetBios-SSN => partage fichiers, imprimantes par Microsoft

iptables -A INPUT -m state --state NEW -p TCP --dport 139 -j ACCEPT -s
192.168.0.0/24, et

# SMB/IP => partage fichiers, imprimantes par SaMBa
iptables -A INPUT -m state --state NEW -p TCP --dport 445 -j ACCEPT -s
192.168.0.0/24,
iptables -A INPUT -m state --state NEW -p UDP --dport 445 -j ACCEPT -s
192.168.0.0/24.

Un peu lourd, alors qu'on peut concentrer tout ça en deux règles.

iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp
-m multiport --dports 135,137,139,445 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -p udp
-m multiport --dports 135,137,138,445 -j ACCEPT

else
echo " + Samba desactive"
fi

Autorise l'acces au serveur SFTP local depuis l'internet
if [ "$SFTP" == "1" ]; then
echo " + Serveur SSH actif"
iptables -A INPUT -i $LAN_ETH -d $LAN_IP -p tcp --dport $SFTP_PORT -m
state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o $LAN_ETH -s $LAN_IP -p tcp --sport $SFTP_PORT -m
state --state ESTABLISHED,RELATED -j ACCEPT
else
echo " + Serveur SFTP desactive"
fi

Si SFTP est associé à SSH comme le suggère le message affiché, alors
c'est le port 22 de SSH qu'il faut ouvrir et non le 115. A moins que ce
soit juste une erreur de copier/coller ?