Discussion :

[kalimerou]

Bonjour,

j'ai besoin d'aide, en effet, j'ai beau me documenter sur iptables, rien a faire, je m'embrouille toujours a l'arrivée et ca a du mal a rentrer...
voici mon probleme ma foi assez simple, j'ai un serveur visible sur le net, je n'ai que deux services qui m'interesse et surtout je voudrais que la majorité des ports
de cette machine ne soit pas visible, donc mon idée:

Non visible, ou interdit: tout !
visible et accessible par tous: port 53 (DNS)
Invisible mais accessible par certaines IPs (3 ips) : 22 (SSH)

Voila, quand je dit tout, c'est tout ! lol meme les pings et autres traceroute ne doivent recevoir d'echo !

Si un gentil admin pour qui iptables n'est pas du tout obscure veut bien me dicter les regles a mettre en place pour ma machine
ca serait une aide tres grandement apprecié !

Merci par avance.

[gorgonite]

essaies cela...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# purger iptables
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Politique par defaut : les paquets sont refuses
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
 
# On accepte les paquets reconnus par le moteur d'etat
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# on ouvre le port tcp/22 (ssh) pour une ip
$IPTABLES -A INPUT -m state --state NEW -p tcp -s adresse_ip/255.255.255.255 --sport 1024: --dport 22 -j ACCEPT
 
# on ouvre les ports udp/53 et tcp/53 (dns) pour une ip
$IPTABLES -A INPUT -m state --state NEW -p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p tcp --sport 1024: --dport 53 -j ACCEPT

[kalimerou]

Merci Gorgonite pour cette rapidité !
quelques questions néanmoins...

pour cette partie, qu'est-ce que tu entend par 'moteur d'etat' ca m'intrigue !

# On accepte les paquets reconnus par le moteur d'etat
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

pour cette regle, c'est tres clair, mais, j'ai 3 ip a autoriser, deux 3 reseaux differend, est-ce que je repete la regle juste en changeant l'ip ?

# on ouvre le port tcp/22 (ssh) pour une ip
$IPTABLES -A INPUT -m state --state NEW -p tcp -s adresse_ip/255.255.255.255 --sport 1024: --dport 22 -j ACCEPT

Enfin pour celle-ci, le port 53 doit etre ouvert pour tout le monde et non pour une seule ip, est-ce une erreur de frappe ?

# on ouvre les ports udp/53 et tcp/53 (dns) pour une ip
$IPTABLES -A INPUT -m state --state NEW -p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p tcp --sport 1024: --dport 53 -j ACCEPT

Merci encore pour cette aide providentielle !!! lol

[gorgonite]

pour cette partie, qu'est-ce que tu entend par 'moteur d'etat' ca m'intrigue !

c'est juste pour dire le service surveillant de respect des règles iptables...

pour cette regle, c'est tres clair, mais, j'ai 3 ip a autoriser, deux 3 reseaux differend, est-ce que je repete la regle juste en changeant l'ip ?

bien sûr

Enfin pour celle-ci, le port 53 doit etre ouvert pour tout le monde et non pour une seule ip, est-ce une erreur de frappe ?

un copier/coller trop rapide...

[kalimerou]

ok, merci chef !
je testes tout ca et viendrais dire si tout est ok

merci encore.

[kalimerou]

Hello,

alors, j'ai testé, ca fonctionne bien !, enfin... presque
pour le SSH, nickel, pour les DNS... ca coince, je m'explique:

j'ai configuré le serveur en DNS secondaire, et j'ai autorisé l'ip de ce serveur pour les transferts a partir du primaire.

lorsque le serveur essaye de transferrer les domaines du primaire, j'ai ces messages d'erreur:

Nov 27 17:41:43 xxxxxxx named[2289]: zone toto.com/IN: refresh: failure trying master 192.168.0.1#53 (source 0.0.0.0#0): operation canceled

de plus j'ai aussi ca dans les logs:

Nov 27 17:23:00 xxxxxxxx named[2289]: could not listen on UDP socket: address in use

Du coup je m'interroge, est-ce que les communications en UDP peuvent bien se faire entre le primaire et le secondaire ?
A quoi correspond le 0.0.0.0#0 ?

Merci de votre aide

[kalimerou]

bon, a force de chercher on trouve !
j'ai trouvé mon probleme de communication entre le serveur DNS secondaire et primaire, sur le secondaire il faut mettre des regles spécifique pour le transferts de zone, voici ce que j'ai trouvé sur le net:

on dit que DNS1 c l'ip du serveur primaire et DNS2 l'ip du serveur secondaire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A INPUT -p tcp -s DNS2 –sport 1024:65535 -d DNS1 –dport 53 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s DNS1 –sport 53 -d DNS2 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT

Alors, ca a l'air pas mal, j'aurais bien aimé tester, mais...
voila ce que j'ai quand je lance toutes mes iptables:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
iptables v1.2.8: multiple -s flags not allowed
Try `iptables -h' or 'iptables --help' for more information.

pour infos, voici les regles que je met:

# purger iptables
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Politique par defaut : les paquets sont refuses
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# On accepte les paquets reconnus par le moteur d'etat
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# on ouvre le port tcp/22 (ssh) pour une ip
iptables -A INPUT -m state --state NEW -p tcp -s DNS1/255.255.255.255 --sport 1024: --dport 22 -j ACCEPT

# on ouvre les ports udp/53 et tcp/53 (dns) pour une ip
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT 
iptables -A INPUT -p tcp -s DNS2 -sport 1024:65535 -d  192.168.1.10 -dport 53 -m state state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s DNS1 -sport 53 -d DNS2 -dport 1024:65535 -m state state ESTABLISHED -j ACCEPT

si quelqu'un peut m'aider a résoudre ce dernier petit probleme

Merci.

[gorgonite]

ben je dirais...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
-s ADRESSE_IP/32
--sport PORT

[HNT]

Je sais que ça ne résout pas ton problème mais tu ne dois pas oublier d'autoriser le trafic local sur ton serveur. Ajoute cette ligne :

# Autoriser la communicatio sur lo
iptables -A INPUT -i lo --source 127.0.0.1 --destination 127.0.0.1 -j ACCEPT

[troumad]

Salut

Je dirais encore de regarder la section Iptables de mon cours : http://troumad.info/Linux/linux.odt
Je suis ouvert à toute amélioration de ce cours !