[iptables] Aide configuration

[Gr3e]

Voilà je souhaiterais installer iptables et le configurer de manière assez simple pour :
- Fermer tous les ports qui ne me seront pas utiles
- Surfer sur internet (http / https)
- Checker et envoyer mes mails gmail via alpine (POP IMAP SMTP)

Voilà pour l'instant, j'ai bien cherché des tuto mais c'est de l'anglais et ...

Ce que j'ai compris :
- Pour fermer un maximum de choses = iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Mais ensuite ?
A l'heure actuelle j'ai ceci

Code : Tout sélectionner

# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# La machine locale est sure
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# On accepte toutes les liaisons firewall-Internet
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On accepte les liaisons Internet-firewall deja etablies
iptables -A  INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Qu'en pensez vous, est-ce safe ?

Edit : J'émets un doute je lance rtorrent et tout fonctionne ... rien n'est filtré donc ??
Je ne comprends rien

[Kristen]

Salut
je ne peux pas t'aider beaucoup par contre, je te renvoies au post que j'ai ouvert il y a peu. Tu pourras y trouver des infos. Personnellement, je cherche toujours ...
Bonne chance et tiens nous au courant.

[FoolEcho]

@Kristen: Vu comment les sujets arrivent, c'est mieux de donner le lien direct: http://forums.archlinux.fr/topic9544.html .
benjarobin y donne notamment un lien vers un tuto complet en français.

N'étant point un expert, comme je l'ai dit sur l'autre sujet, je me basé sur le wiki. Ce qui donne les règles suivantes, que je commente pour vous donner une idée:

Code : Tout sélectionner

#par défaut, sécurité max: rien ne doit passer (quoi que la sécurité max est encore de ne pas être ne réseau du tout, cable débranché tout ça)
:INPUT DROP [0:0]
#n'ayant qu'une interface (eth0) sur mon pc de bureau, je me fiche du forward (je m'en fiche aussi sur mon portable)
:FORWARD ACCEPT [0:0]
#tout peut sortir de ma machine
:OUTPUT ACCEPT [549:51436]
#pour les règles supplémentaires à insérer, voir à la fin
:TCP - [0:0]
:UDP - [0:0]
#on autorise les connexions déjà établies ou le nouveau trafic en rapport (erreurs, décongestions...)
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#j'ai besoin de ma boucle locale (serveurs locaux: cups, apache, sql, ssh)
-A INPUT -i lo -j ACCEPT
#on vire tout ce qui a une sale tronche sur le trafic suivi
-A INPUT -m conntrack --ctstate INVALID -j DROP
#on autorise les pings
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
#maintenant on étudie ce qui se passe de nouveau, voir les règles des tables tcp/udp
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
#on rejette ce qui arrive sur des ports non ouverts
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
#finalement, on rejette tout ce qui est passé au travers des règles précédentes
-A INPUT -j REJECT --reject-with icmp-proto-unreachable

#règles additionnelles
#accès ssh en réseau local (j'ai 2 machines, ça me sert pour transférer des fichiers ou pour administrer/dépanner l'une ou l'autre)
-A TCP -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
#accès au serveur apache sur le réseau local
-A TCP -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

(j'suis comme vous, si quelqu'un à quelque chose à redire, qu'il parle maintenant ou se taise à jamais ... je pense que de toutes manières, ce type de sujet est très intéressant )

Edit : J'émets un doute je lance rtorrent et tout fonctionne ... rien n'est filtré donc ??
Je ne comprends rien

Sauf erreur de ma part, vu que la demande de torrent part de ta machine, ça me paraît normal avec tes règles que ça passe.

[Kristen]

@Kristen: Vu comment les sujets arrivent, c'est mieux de donner le lien direct: http://forums.archlinux.fr/topic9544.html .
benjarobin y donne notamment un lien vers un tuto complet en français.

euh oui, je pensais même l'avoir fait. J'ai du cliquer sur Envoyer trop rapidement. Désolé Gr3e

j'suis comme vous, si quelqu'un à quelque chose à redire, qu'il parle maintenant ou se taise à jamais ... je pense que de toutes manières, ce type de sujet est très intéressant )

très intéressant mais aussi très compliqué!

[widapit]

Salut !

Edit : J'émets un doute je lance rtorrent et tout fonctionne ... rien n'est filtré donc ??
Je ne comprends rien

Sauf erreur de ma part, vu que la demande de torrent part de ta machine, ça me paraît normal avec tes règles que ça passe.

Effectivement, c'est toi qui intitie la connexion et tu ne filtre aucun port:

Code : Tout sélectionner

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A  INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

tu acceptes tout pourvu que ça passe par l'interface physique 'eth0'...
il te faudrait voir l'option multiport pour ça quelque chose comme:

Code : Tout sélectionner

iptables -A  INPUT -i eth0 -p tcp -m multiport --ports 25,143,80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT

...suivant ceux que tu utilisent et tu adaptes pour le "OUTPUT"
aide toi du 'man iptables' !!

[Gr3e]

Ah d'accord je comprends mieux d'un coup
C'est quand même pas évident de se faire un truc au poil quand même.

Personne n'a dans ses connaissances un administrateur réseau dévoué à la communauté ?!

[FoolEcho]

Sûr. C'est quand même une spécialité, ça ne s'improvise pas (même pour un informaticien d'une autre branche).