[IpTables] Avis configuration IpTables (résolu)

[snoogy]

Bonjour tout le monde,

j'aimerai avoir vôtre avis sur ma configuration IpTables.

C'est une configuration "simple" qui normalement refuse tout en entrée et sortie sauf quelques ports spécifiés.
J’espère ne pas avoir fait d'erreur, mon but étant de tout bloquer sauf mes applications qui doivent se connecter sur internet.

Par la suite et après avoir lu toutes les doc sur iptables {c'est trèeees long :s} je compléterai ce fichier.
Je pense que c'est "le minimum" a avoir, certain me diront que ce n'est pas nécessaire de filtrer les sortie mais je préfère l'avoir.

Voici la config:

Code : Tout sélectionner

#!/bin/bash

echo Mes Règles iptables.

# Chargement des modules du suivi de connexion.
modprobe ip_conntrack        ; # Module principal du suivi de connexion
modprobe ip_conntrack_ftp    ; # Module du suivi de connexion FTP
modprobe ip_conntrack_irc    ; # Module du suivi de connexion IRC
echo - Chargement des modules ip_conntrack : [OK]

# J'efface toutes les règles existantes dans iptables.
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Je mets en place les regles par défaut (on refuse tout).
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion : [OK]

# J'autorise l'interface loopback à dialoguer avec elle-même.
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
echo - Autoriser loopback : [OK]

# J'interdit les PC de l'exterieur de faire des ping.
iptables -A INPUT -p icmp -j DROP
echo - Interdire le ping entrant : [OK]

# Je refuse certaines requetes.
iptables -N SCANS
iptables -A SCANS -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A SCANS -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A SCANS -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A SCANS -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p udp --dport 33434:33523 -j DROP

# Je rejet les paquets bizarres.
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
echo - Refus de certaines requetes : [OK]

# Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
echo - Droppe des paquets broadcastés : [OK]

# RFC 1413 - Identification Protocol.
#iptables -A INPUT -p tcp --destination-port auth -j REJECT --reject-with tcp-reset
echo - RFC 1413 : [OK]

# Ne pas casser les connexions établies.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

# J'accepte la sortie de certain protocoles:
iptables -A OUTPUT -p TCP --dport http -j ACCEPT        # Port 80   (Http)
iptables -A OUTPUT -p TCP --dport https -j ACCEPT       # Port 443  (Https)
iptables -A OUTPUT -p TCP --dport pop3 -j ACCEPT        # Port 110  (Pop3)
iptables -A OUTPUT -p TCP --dport smtp -j ACCEPT        # Port 25   (Smtp)
iptables -A OUTPUT -p TCP --dport ftp-data -j ACCEPT    # Port 20   (Ftp Data)
iptables -A OUTPUT -p TCP --dport ftp -j ACCEPT         # Port 21   (Ftp)
iptables -A OUTPUT -p TCP --dport ssh -j ACCEPT         # Port 22   (Ssh)
iptables -A OUTPUT -p TCP --dport 1863 -j ACCEPT        # (Msn Pidgin)
iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT		# (Dns)
iptables -A OUTPUT -p TCP --dport 995 -j ACCEPT		# (Pop3s)
iptables -A OUTPUT -p TCP --dport 993 -j ACCEPT		# (Imaps)
iptables -A OUTPUT -p UDP --dport 465 -j ACCEPT		# (Urd)
iptables -A OUTPUT -p TCP --dport 8000 -j ACCEPT	# (Shoutcast)
iptables -A OUTPUT -p TCP --dport 5222 -j ACCEPT	# (xmpp)
echo - Autorisation protocole de sortie : [OK]

# On log les anomalies et les paquets rejetés.
iptables -A INPUT -m state --state INVALID -m limit --limit 4/s -j LOG --log-prefix "INPUT INVALID"
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state NEW,RELATED -p tcp --tcp-flags ALL SYN -j DROP
iptables -A INPUT -p tcp --destination-port auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -m limit --limit 4/s -j LOG --log-prefix "INPUT bad "
iptables -A INPUT -j DROP
echo - Log des anomalies et des paquets rejetés : [OK]

# MEMO:
#-I = insert rule, on ajoute un règle en tête du filtre.
#-A = append rule, on ajoute une règle à la fin du filtre.
#-D = delete, on efface une règle.
#-R = replace, on remplace un règle.
#-L = list, on liste un chaîne.
#-F = flush, on efface les règle d’une chaîne.
#-P = Policy, réaction par défaut.

#Sauvegarde
rc.d save iptables

exit 0

[Script modifier en bas de page]
http://forums.archlinux.fr/post89569.html#p89569

[benjarobin]

Toutes les règles d'interdictions ne servent à rien, car tu interdit déjà tout dès le début
Ou alors tu déplaces toutes les autorisations juste après "- Interdire toute connexion : [OK]"
Comme ceci les règles d'interdictions seront fonctionnelles, en effet l'ordre est très important

De plus as tu penser à filtrer IPv6 ?

[snoogy]

Merci pour ta réponse,

donc si j’interdis tout au début avec:

Code : Tout sélectionner

# Je mets en place les regles par défaut (on refuse tout).
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion : [OK]

je peut enlever la partie "# Je refuse certaines requêtes", "# Je rejet les paquets bizarres.", etc..

mais est ce que je dois laisser "# Dropper silencieusement tous les paquets broadcastés.", "# RFC 1413 - Identification Protocole." ou je peut aussi les enlever ?

Pour l'IPv6 je ne l'utilise pas, faut t'il tout de même mettre des règles de filtrage IPv6 sachant que ce n'est pas activer ?

[benjarobin]

Ta configuration est en faite une vrai passoire, je te laisse lire ceci http://olivieraj.free.fr/fr/linux/infor ... index.html
En gros tu ne devrait avoir que ceci pour autorisé du traffic, à moins d'avoir un serveur Web, ou Ssh que tu voudrais pouvoir accéder depuis l'extérieur (A adapter bien sûre)

Code : Tout sélectionner

iptables -A OUTPUT -o eth1 -s 10.0.0.1  -d 0.0.0.0/0 -p all -m state --state ! INVALID           -j ACCEPT
iptables -A INPUT  -i eth1 -s 0.0.0.0/0 -d 10.0.0.1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

Il faut donc bien penser à tout interdire, d'autoriser loop et puis c'est tout

Pour IPv6 il faut au moins les règles qui bloque le trafic (En autorisant loop encore une fois), sinon tu es complètement ouvert

[snoogy]

Ok merci beaucoup, je vais faire les modifications et poster mon fichier cette après-midi.

[snoogy]

re, je suis bloquer sur l'adresse ip 10.0.0.1. Elle correspond a quoi en faite ?
Je pense a l'adresse ip de mon poste (192.168.1.xx) mais:

Code : Tout sélectionner

iptables -A OUTPUT -o eth1 -s 10.0.0.1  -d 0.0.0.0/0 -p all -m state --state ! INVALID           -j ACCEPT

j'ai le message d'erreur : iptables v1.4.12.2: Bad state "!"

et plus de connexion internet..

[benjarobin]

As ru lu entièrement le lien que je t'ai donné ?

Code : Tout sélectionner

#!/bin/bash

# Suppression de toutes les chaînes pré-définies de la table FILTER
iptables -t filter -F

# Suppression de toutes les chaînes utilisateur de la table FILTER
iptables -t filter -X

# Suppression de toutes les chaînes pré-définies de la table NAT
iptables -t nat -F

# Suppression de toutes les chaînes utilisateur de la table NAT
iptables -t nat -X 

# Suppression de toutes les chaînes pré-définies de la table Mangle
iptables -t mangle -F

# Suppression de toutes les chaînes utilisateur de la table Mangle
iptables -t mangle -X 

# Par defaut, toute les paquets de la table FILTER sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# Par defaut, toute les paquets de la table NAT sont DROP
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

# Autorise l'interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT  -i lo -j ACCEPT

iptables -A OUTPUT -o eth0 -s 192.168.0.9  -d 0.0.0.0/0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i eth0 -s 0.0.0.0/0 -d 192.168.0.9  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT


# Suppression de toutes les chaînes pré-définies de la table FILTER
ip6tables -t filter -F

# Suppression de toutes les chaînes utilisateur de la table FILTER
ip6tables -t filter -X

# Par defaut, toute les paquets de la table FILTER sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP

[snoogy]

ah oui, "! INVALID" est uniquement une manière plus rapide d'écrire qu'il faut que les connexions soient d'un des 3 états "NEW, ESTABLISHED, RELATED".

Merci pour les règles iptables, sachant que mon pc ne sert pas de passerelle j'ai supprimer ceci:

Code : Tout sélectionner

# Par defaut, toute les paquets de la table NAT sont DROP
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

Je sais que la règle "iptables -t filter -P FORWARD DROP" détruit les paquets de la table Nat mais est-ce vraiment nécessaire de laisser le code au dessus ?

[snoogy]

Ce qui donne ceci:

Code : Tout sélectionner

#!/bin/bash

# J'efface toutes les règles existantes dans iptables.
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo - Vidage : [OK]

# Je mets en place les regles par défaut (on refuse tout).
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion : [OK]

# J'autorise l'interface loopback à dialoguer avec elle-même.
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
echo - Autoriser loopback : [OK]

# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les processus locaux
iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Autorisation processus locaux : [OK]

# Suppression des règles IPv6
ip6tables -t filter -F
ip6tables -t filter -X
echo - Vidage IPv6 : [OK]

# Par defaut, toute les paquets de la table FILTER sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP
echo - Interdire connexion IPv6 : [OK]

# Log.
iptables -t filter -A INPUT -p all -j LOG --log-prefix=DefaultDrop
echo - Log : [OK]

#Sauvegarde
rc.d save iptables

exit 0

[snoogy]

Comment faire pour autoriser seulement les processus locaux de certain port ? (ex: 80,443..)

J'ai essayer d’éditer la chaîne :

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

avec les options -dport et -sport (+le numéro de port) mais j'obtiens que des messages d'erreur :/

[benjarobin]

Pour autorisé des processus locaux de certain port, il suffit de rajouter une règle après celle-ci, l'ordre est très important !
Cette règle autorisera le trafic sur le port que tu lui désignera, mais je te conseil sérieusement la lecture du lien que je t'ai donné, car apparemment tu ne l'as pas entièrement lu

[snoogy]

hmmm, je crois que je me suis mal exprimer.

Je n'ai aucun serveur Web ou Ssh, donc pas l'utilité d'autoriser des accès venant de l’extérieur.

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

cette règle autorise toute les connexions que j’aurai initialiser mais j'aimerai laisser passer que le web et les mails.
Si je lance un client P2P il va se connecter et c'est justement le problème.

Je pourrai mettre des règles d'interdiction mais il y en aurai beaucoup trop.

[benjarobin]

Voici un exemple qui autorise uniquement les ports Web de navigation utilisant TCP; Tout l'UDP est bloqué.

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p tcp --ports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p tcp --ports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPT

Je ne l'ai pas testé mais cela devrait fonctionner
Attention, on ne peut spécifier que 15 ports avec --ports
Si tu veux ouvrir d'autre port il suffit de créer un nouvelle règle

[snoogy]

Oui c'est exactement ceci, j'avais essayer avec --dport et --sport

mais même avec --ports j'ai un message d'erreur : "iptables: unknown option "--ports"

[benjarobin]

Pour le port 80

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p tcp --dport 80 -m state ! --state INVALID -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

En faite la notation multiport (--dports, --sports, --ports) s'utilise avec le module multiport, or on utilise déjà le module state

[snoogy]

Oui c'est bien ça

Maintenant me reste plus qu'a trouver pourquoi ça me bloque la connexion

Code : Tout sélectionner

Adresse introuvable        
          Firefox ne peut trouver le serveur à l'adresse www.owni.fr

Sûrement parce que Firefox utilise le port 80 pour la réception et un autre port aléatoire pour l'envoi :/

Donc logiquement je me dit que ca devrai fonctionner avec:

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -s 192.168.1.222  -d 0.0.0.0/0 -p tcp --dport 80 --sport 80 -m state ! --state INVALID -j ACCEPT
iptables -A INPUT  -i wlan0 -s 0.0.0.0/0 -d 192.168.1.222  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

mais trop facile pour que ça fonctionne surement le module multiport.

Edit: a oui le Dns, je lui mets une règle aussi.

[benjarobin]

Non c'est plus compliqué que cela, de plus tu bloque le port du DNS

[widapit]

Salut !

...s'utilise avec le module multiport,or on utilise déjà le module state

pourquoi est-ce que tu dis ça ? rien n'empêche d'avoir une ligne comme ça, par exemple:

Code : Tout sélectionner

-A INPUT -i wlan0 -p tcp -m multiport --sports 22,80,443,8000,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT 

.En tous cas, ça marche chez moi... !!

Sinon, oui pour le DNS il te faut au minima ceci :

Code : Tout sélectionner

-A INPUT -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 

[benjarobin]

Pourquoi ? Car je ne savais pas que c'était possible

[snoogy]

Merci,

donc ça devrai être comme ceci:

Code : Tout sélectionner

iptables -A OUTPUT -o wlan0 -p udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i wlan0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlan0 -p tcp -m multiport --sports 22,53,80,443,1863,8000,8080 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp -m multiport --sports 22,53,80,443,1863,8000,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT 

mais aucune application n'arrive a ce connecter, ça me fait connexion en cours puis Le délai d'attente est dépassé

Si je mets "iptables -A OUTPUT -o wlan0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT" ça fonctionne mais c'est pas mon but