Discussion :

[zevince]

Bonjour,

J'ai un serveur sous debian etch et j'ai besoin d'ouvrir des ports pour un site que je veux heberger.. Mais je suis plutot novice dans ce domaine !

J'ai cherché du coté d'iptables, mais je ne trouve pas de script de configuration dans /etc/

J'ai essayé de passer directement les commandes du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -t filter -A INPUT -p tcp --dport 999 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1982 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1983 -j ACCEPT

mais quand je fais un nmap sur le serveur, ca me donne ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
Not shown: 1673 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
113/tcp  open  auth
3306/tcp open  mysql
5432/tcp open  postgres
 
Nmap finished: 1 IP address (1 host up) scanned in 0.101 seconds

Et donc les commandes ne semblent pas prises en compte.. Alors ou sont fermés les ports .. ? et comment les ouvrir.. ?

Merci d'avance..

[gorgonite]

il faut fermer tous les ports par défaut, puis ouvrir le strict nécessaire


regardes un exemple
http://gorgonite.developpez.com/tuto...isations#LII-6

[zevince]

oui, ca j'ai vu ce tutorial, deja...
Le probleme c'est que je ne vois pas trop ou sont fermés tous les ports.. je ne trouve pas de script de configuration iptables, par defaut semble t-il, les seuls ports ouverts sont ceux mentionnés par nmap.. Et qu'a priori, si je passe directement les commandes iptables, ca devrait avoir le pas sur les regles existantes.. ?

Je ne comprends pas d'ou vient la fermeture de tous les ports... bon, je sais, je suis un peu novice dans le domaine..

Alors ou est censé etre le script iptables sur debian etch, par defaut ?

[gorgonite]

ok, on va reprendre quelques points :

1. les ports ne sont ouverts que si une application a réservé ce port pour écouter... donc si tu n'éteinds tous les services (apache, mysql & cie), il n'y aura plus de ports ouverts
2. iptables n'est pas activé par défaut, me semble-t-il, il faut donc créer toi-même ton script iptables qui se lancera au démarrage (cf mon tuto)
3. ce n'est pas parce qu'un service écoute sur un port, qu'il faut absolument que les personnes extérieurs puissent se connecter dessus... avec iptables, tu n'ouvres que le nécessaire, et donc tu n'auras pas ce problème
4. un service n'est pas obligé d'écouter sur le port standard, mais tu ne veux pas forcemment changer cette configuration dans le fichier de conf... un coup d'iptables PREROUTING peut régler le problème

j'espère que c'est plus clair sur l'utilisation d'iptables en tant que "firewall" (attention, je n'ai pas parlé du nat, et d'autres petits détails utiles )

[zevince]

hmm, ok, c bien ce qu'il me semblait.. si il n'y a pas de service qui ecoute sur un port, celui ci est fermé..

Resultat, faut que je vois avec la personne qui m'a demandé l'ouverture de ces 3 ports... et ce n'est pas un probleme d'iptables..

Petite question annexe, pure curiosité.. Si les ports sont fermés par defaut, a quoi bon rajouter un script iptables.. quels sont les risques si on ne le fait pas ?

[zevince]

bon bah j'en ai reparlé avec le gars qui m'avait fait la demande, qui m'a confirmé que ca marchait..
Désolé du bruit, mais ca m'a eclairci l'esprit
merci