Discussion :

[NeilaK]

Bonjour tout le monde
je voudrais interdire les tentatives d'acces ssh sortantes d'une machine linux qu'on administre et autoriser l'acces ssh entrant
Sachant que la chaine output etait vide j'ai executé les commandes suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP
service iptables save
chkconfig iptables on

Quand j'essai la commande scp sortante (exp scp /home/wiwi user@x.x.x.x:/home/user) ou des tentatives ssh x.x.x.x, tout fonctionne comme si je n'ai rien chagé
Avez vous une idée?
Merci

[gorgonite]

essaies cela...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A OUTPUT -o eth1 -p tcp --sport 22 -j DROP

[NeilaK]

essaies cela...

Code:

iptables -A OUTPUT -o eth1-p tcp --sport 22 -j DROP

je l'ai essayé mais ca donne le meme resultat, je peux toujours me connecter ssh

[gorgonite]

ce ne serait pas --dport ???

[NeilaK]

ce ne serait pas --dport ??

?

je ne pense pas, dport c'est pour les chaines INPUT

[gorgonite]

?

je ne pense pas, dport c'est pour les chaines INPUT

[gorgonite]

au fait, il y a aussi la possibilité de faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chmod o-rx /usr/bin/ssh

[Rhineauféros]

je ne pense pas, dport c'est pour les chaines INPUT

Non non, je suis d'accord avec gorgonite. Quand tu inities une connexion SSH depuis ta machine, ton client SSH contacte le port 22 de la machine distante, qui est écouté par un serveur de connexions SSH. Ta machine, elle, n'utilise pas le port 22.

[gnto]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP
service iptables save
chkconfig iptables on

Question bête mais as-tu fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

service iptables restart

[NeilaK]

Bonjour tout le monde

ce ne serait pas --dport ???

c'est tout a fait juste, c'est moi qui était induite en erreur

Non non, je suis d'accord avec gorgonite. Quand tu inities une connexion SSH depuis ta machine, ton client SSH contacte le port 22 de la machine distante, qui est écouté par un serveur de connexions SSH. Ta machine, elle, n'utilise pas le port 22

. C'est tout à fait la bonne explication Rinhéauféros, par contre, je ne vois pas ds quel cas utiliser sport (en géneral) c'est toujours une cnx vers mon serveur ssh en input et une connexion vers 1 serveur distant en output

Question bête mais as-tu fais un
Code:
service iptables restart

je l'ai fait gnto merci, le probleme etait avec sport et dport

[gorgonite]

ben je ne suis pas si rouillé que cela...
faut dire que je triche un peu, car en ce moment, j'écris un tutoriel sur les passerelles, et donc avec quelques commandes iptables

alors ?

[NeilaK]

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

[gorgonite]

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

http://man.developpez.com/man8/iptables.8.php

[Rhineauféros]

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

ben par exemple pour autoriser les réponses du serveur SSH, si tu n'actives pas le suivi de connexions...

autre exemple, dans mon script j'ai une ligne comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
# Requêtes de broadcast DHCP entrantes (on reçoit forcément le broadcast qu'
on envoie + celui des autres) :
        iptables -A INPUT -i eth0 -d 255.255.255.255 -p udp --sport 68 --dport 6
7 -j DROP

qui me sert à ne pas journaliser les requêtes de broadcast.