[firewall]besoin d'avis sur protection (discussion)

Applications, problèmes de configuration réseau
Répondre
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

[firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

Bonsoir.
J'ai essayé de me faire un firewall digne de ce nom. Cependant, j'aurais besoin d'un avis plus expert, pour me dire ce que vous en pensez. Voici le script en question :

Code : Tout sélectionner

#!/bin/bash

# stop the iptables
/etc/rc.d/iptables stop


#  reset iptables rules
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X


# ----------------------------------------------------------------------------
# Protection against common attacks
#
# Ne pas casser les connexions établies
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Interdire toute connexion entrante et sortante
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
# Autoriser loopback
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
#Autoriser tout en sortie
/sbin/iptables -t filter -A OUTPUT -o eth0 -j ACCEPT

 # allow only SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
 # force fragments packets check
iptables -A INPUT -f -j DROP
 # drop incoming malformed XMAS packets
iptables  -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
 # drop all NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP


# ----------------------------------------------------------------------------
# Hide the computer						# (optional) #
#



 # block PING request
iptables -A INPUT -i ${internet} -p icmp --icmp-type echo-request -j DROP


 # ICMP type match blocking
iptables -I INPUT -p icmp --icmp-type redirect -j DROP
iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP
iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP
# Ouvertures persos
/usr/sbin/iptables -t filter -A INPUT -p tcp  --dport 55550 -j ACCEPT
# ----------------------------------------------------------------------------
# the end


/etc/rc.d/iptables save


/etc/rc.d/iptables start


# print the iptables
iptables -L;




exit 0;
Merci d'avance!
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Ton script est pas assez sévère, on peut faire la même chose en beaucoup moins de ligne, je te conseil de lire ceci : http://olivieraj.free.fr/fr/linux/information/firewall/ Il faut tout lire, c'est la fin qui devient intéressant...

J'ai pas le mien sous la main, mais en gros j'interdis TOUT sauf le loopack, les connexions que j'ai moi même initialise. Puis après cela dépend si tu partage une imprimante, si tu veux autorise le protocole SMB ou autre sur ton réseau local. Si tu as un serveur ssh (je n'autorise que certaine IP a ce connecter). Si tu as un VPN...
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

bien, je me collerais à la lecture dès que j'aurais du temps. Je reposterais à ce moment là pour avoir votre avis.


hs : j'en entends parler depuis tellement longtemps... je vais paraître idiot, mais c'est quoi un serveur ssh, et ça sert à quoi?
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

Bon, j'ai tout lu, sauf la partie NAT qui ne me concerne pas comme je n'ai pas de réseau local, juste mon petit pc. Alors voici ce que ça donne. Même question que précédemment, est-ce que c'est bien?
Et sinon, je veux bien des explications sur la partie " règles pour éviter les attaques ???" s'il vous plaît, car j'ai trouvé ça sur le net, je comprend en gros à quoi cela sert, mais je ne sais pas si c'est suffisant ou vraiment utile.

Code : Tout sélectionner

#!/bin/bash

# stop the iptables
/etc/rc.d/iptables stop


# reset iptables rules

iptables -t filter -F
iptables -t filter -X


# on empèche tout de passer

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Initialisation de la table NAT
iptables -t nat -F
iptables -t nat -X 
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

# Initialisation de la table MANGLE
iptables -t mangle -F
iptables -t mangle -X 
iptables -t mangle -P PREROUTING  ACCEPT
iptables -t mangle -P INPUT       ACCEPT
iptables -t mangle -P OUTPUT      ACCEPT
iptables -t mangle -P FORWARD     ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

# on autorise le loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# on autorise les connections internet qu si ça vient de chez moi

iptables -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT  -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o wlan0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT  -i wlan0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -t filter -A INPUT -j LOG


## règles pour éviter les attaques ???


 # allow only SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
 # force fragments packets check
iptables -A INPUT -f -j DROP
 # drop incoming malformed XMAS packets
iptables  -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
 # drop all NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP


# ----------------------------------------------------------------------------
# Hide the computer						# (optional) #
#



 # block PING request
iptables -A INPUT -i wlan0 -p icmp --icmp-type echo-request -j DROP


 # ICMP type match blocking
iptables -I INPUT -p icmp --icmp-type redirect -j DROP
iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP
iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP
# Ouvertures persos
#iptables -t filter -A INPUT -p tcp  --dport 55550 -j ACCEPT
# ----------------------------------------------------------------------------
# the end


/etc/rc.d/iptables save


/etc/rc.d/iptables start


# print the iptables
iptables -L;




exit 0;



hs : merci pour les explications sur ssh. Si je comprend bien, avec ça, je pourrais partager des données facilement avec quelqu'un?
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Un truc plus "propre"

Code : Tout sélectionner

iptables -t filter -F
iptables -t filter -X

# on empèche tout de passer

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# on autorise le loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# on autorise les connections internet qu si ça vient de chez moi
INTERFACE="wlan0"
LOCAL_IP="192.168.0.4"

iptables -A OUTPUT -o $INTERFACE -s $LOCAL_IP  -d 0.0.0.0/0 -p all -m state ! --state INVALID -j ACCEPT
iptables -A INPUT  -i $INTERFACE -s 0.0.0.0/0 -d $LOCAL_IP  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

INTERFACE="eth0"
LOCAL_IP="192.168.0.5"

iptables -A OUTPUT -o $INTERFACE -s $LOCAL_IP  -d 0.0.0.0/0 -p all -m state ! --state INVALID -j ACCEPT
iptables -A INPUT  -i $INTERFACE -s 0.0.0.0/0 -d $LOCAL_IP  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -j LOG

#iptables -t filter -A INPUT -p tcp  --dport 55550 -j ACCEPT
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
farvardin
Maître du Kyudo
Messages : 1084
Inscription : sam. 29 mars 2008, 22:56

Re: [firewall]besoin d'avis sur protection (discussion)

Message par farvardin »

Thuban a écrit : hs : merci pour les explications sur ssh. Si je comprend bien, avec ça, je pourrais partager des données facilement avec quelqu'un?
non pas du tout, c'est pour avoir un login sur une machine distante comme si tu étais sur place, avec de la sécurité sur les transferts et la connexion. Cela permet également de copier des fichiers d'une machine à une autre (avec scp) et de faire pas mal d'autres choses (tunnel sécurisé entre 2 machines).

Si tu veux partager avec quelqu'un d'autres, il y a d'autres méthodes plus adaptées.
(malgré tout tu peux créer un compteutilisateur sur ta machine pour tes amis et leur donner un accès ssh, ils peuvent venir déposer des fichiers dans un répertoire partagé etc, mais c'est vraiment pas l'idéal alors que le ftp existe)
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

@benjarobin :
En quoi ta partie améliore la mienne? J'aimerais vraiment comprendre le sujet! Désolé si je suis embêtant :copain:
Une autre question, tu assignes une ip à chaque interface. Cela ne pose-t-il pas de problème, car personnellement j'utilise wicd pour me connecter, donc une ip qui n'est pas forcément celle que tu as écrit.
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Avant tu dop tout, puis tu autorise certaine chose... Puis tu drop certaine chose <- complètement inutile.... Le mieux et le plus simple, sauf si on n'a pas le choix et d'autoriser tout sauf ce que tu veux...
Sinon passe en IP static, ou dit a ton routeur de te donner toujours la même IP ^^ Certe c'est une petite sécurité en plus un peu chiante si tu oublie ^^ (on s'en rend compte vite fait, on n'a plus internet du tout)
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

en fait, c'est la partie initialisation de la table MANGLE et NAT qui te plaît pas si je comprends bien? Il était conseillé de le faire sur le site que tu m'as donné, mais j'ai sans doute mal compris.
Par contre, ça ne pose pas de soucis de ne pas les "bloquer" ces tables?

Merci beaucoup pour les précisions! :copain:
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Si tu parle de cette page relie bien pour quoi elle est faite. A moins de transformer ton PC en passerelle... http://olivieraj.free.fr/fr/linux/infor ... 03-08.html
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

J'avoue l'avoir lue un peu vite celle là :) .
Bien, merci encore pour les infos!
Je passe tous les test disponibles sur internet avec brio, sauf celui-ci, qui me dirt que je réponds aux pings. Comment puis-je résoudre ce "souci"?

https://www.grc.com/x/ne.dll?bh0bkyd2
farvardin
Maître du Kyudo
Messages : 1084
Inscription : sam. 29 mars 2008, 22:56

Re: [firewall]besoin d'avis sur protection (discussion)

Message par farvardin »

tu n'es pas derrière un boîtier Thuban ? Car chez moi tous les tests passent bien, y compris le ping.
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

un boitier? comment ça, un routeur tu veux dire? mis à part celui dela box, je vois pas ce que tu veux dire.
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [firewall]besoin d'avis sur protection (discussion)

Message par benjarobin »

Thurban je me demande si tu as bien lu le lien que je t'ai donné :evil: ....
Quand tu vas sur le site de test, celui-ci ne test pas ta machine, mais le routeur...
Donc en gros si ton routeur est bien configurer tout ce que tu as fait ne sert a rien... (sauf si ton routeur est une passoire...) Dans ton cas ton routeur répond au ping... Certe iptables d'activé c'est bien, mais si tu ne sais pas ce que tu fais, a pars dire j'ai mis un firewall....
Iptables est intéressant quand on est connecter directement a internet sans passé par un routeur, ou que l'on est sur un réseau public...
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Thuban
Daikyu
Messages : 82
Inscription : mar. 30 juin 2009, 17:12

Re: [firewall]besoin d'avis sur protection (discussion)

Message par Thuban »

Si si je l'ai lu. Mais j'étais sans doute un peu fatigué je crois... :|
Répondre