Discussion :

[storm_2000]

Bonjour,

je suis en train de configurer un serveur linux sur lequels j'ai :
- svn
- jboss
- postgres (en local)
- un futur serveur de mails.

pour le moment j'ai commencer la configuration de iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
 
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 3690 -j ACCEPT

ai-je oublier des choses ou non ?

de plus, après la configuration de iptables : que puis-je faire pour sécurisé encore plus mon serveur ?

[N_BaH]

ai-je oublier des choses ou non ?

au moins une règle pour l'OUTPUT...
?
sinon, ton serveur ne répondra pas aux requêtes qu'il reçoit.

[chaval]

Non, il est possible de se passer de règles OUTPUT.
Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)

[storm_2000]

en faite mon serveur c'est juste une unité central donc oui l'ensemble des services sité doivent être accessible à distance.

[EDIT]

je vais tester et vous tiens de l'évolution...

[storm_2000]

Non, il est possible de se passer de règles OUTPUT.
Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)

je viens d'utiliser ta commande mais impossible de me connecter en SSH avec putty depuis un autre PC....

[storm_2000]

Je viens de modifier mon script pour avoir le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
iptables -F
iptables -X
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#Nous autorisons la boucle lo
sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
#Nous autorisons l'ensemble des connexions déjà établie (entrante + sortante)
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#SSH en INPUT. Impossible de se connecter depuis le serveur sur un autre serveur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
# HTTP
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
 
# HTTP / HTTPS pour les MAJ de linux
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
 
# FTP
sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
 
# NTP (horloge du serveur) 
sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
 
 
# RTM
sudo iptables -t filter -A INPUT -p udp --dport 6100:6200 -j ACCEPT

pouvez-vous me le valider ?
je ne pense pas avoir fait d'erreur

[N_BaH]

si tu avais écrit tout ton script avec sudo $EDITOR ton_script, tu n'aurais pas besoin d'un sudo sur chaque ligne, mais simplement de lancer ton script manuellement avec sudo, ou, sans, depuis l'un des scripts de démarrage de l'interface réseau principal

et, le DNS n'utilise-t-il pas uniquement l'udp ?

pour tester tes règles, tu peux utiliser un service en ligne très utile.

[storm_2000]

D'accord j'en prends note.
Le problème c'est que je n'ai pas la main physiquement sur le serveur donc si le script ne marche pas je suis mort.
Donc d'après le script précédent, vais-je bien réussir a me connecter a mon serveur en ssh sans problème ? ou dois-je ouvrir aussi SSH en OUTPUT ?

[N_BaH]

dois-je ouvrir aussi SSH en OUTPUT ?

A priori, oui, tu l'as fait pour les autres services, pourquoi pas ssh ?

par précaution, le temps des essais, prévois une tâche cron, qui effacera tes règles au bout d'un certain temps, pour reconfigurer iptables afin d'obtenir un accès sans restrictions à ta machine distante...
?

[storm_2000]

je ne voie pas l'intérêt d'ouvrir le port 22 en OUTPUT sachant que je ne vais jamais me connecter en SSH de mon serveur vers une autre machine.
ca sera toujours d'une autre machine vers mon serveur (en SSH donc INPUT)

[N_BaH]

Soit, mais il faut bien qu'il te réponde...

Tu n'as pas l'intention de te connecter sur internet depuis ta machine distante, pourtant le port 80 est ouvert en OUTPUT aussi (deux fois d'ailleurs !)

[storm_2000]

la ligne suivante : iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

ne permet pas de le faire ?

[N_BaH]

Si, je ne l'avais pas vue, dsl. Mais alors tu peux sans doute omettre toutes les autres règles OUTPUT

[storm_2000]

merci de ton aide.