Page 1 sur 1
[iptables] pare-feu
Publié : dim. 15 févr. 2015, 14:24
par AchilleFraisse
Bonjour,
Est-ce que le fichier de paramétrage du pare-feu iptables suivants est bien pour avoir une bonne sécurité ?
Code : Tout sélectionner
#!/usr/bin/bash
# Réinitialise les règles
iptables -F
iptables -X
# Bloque tous le trafic
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
# Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
# On accepte la boucle locale en entrée.
iptables -I INPUT -i lo -j ACCEPT
# On log les paquets en entrée.
iptables -A INPUT -j LOG
# On log les paquets forward.
iptables -A FORWARD -j LOG
exit 0
Et où dois-je mettre le fichier dpour que les paramètres se lancent au démarrage ?
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 14:52
par benjarobin
En plus d'utiliser des choses plus supportés (--state), il n'est absolument pas logique.
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 14:58
par AchilleFraisse
Celui-ci est donc mieux (site archlinux) ? :
Code : Tout sélectionner
#!/bin/bash
# Réinitialisation des règles
iptables -t filter -F
iptables -t filter -X
# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Echange avec les serveurs DNS
iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Autorise les connexions hhtp et https
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Autorise les connexions localhost
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
# Horloge du serveur
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
exit 0
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 15:05
par benjarobin
C'est déjà bien plus logique, mais ce dernier est très restrictif : En entrée tout est bloqué et en sortie à part la navigation Web de base, rien d'autre n'est autorisé.
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 15:12
par AchilleFraisse
Justement, j'ai un disque reseau monte avec nfs. Quelle règle doi-je mettre pour autoriser ?
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 17:33
par leeroyke
Si tu n'est pas a l'aise avec la création du fichier de règles dans iptable, je te conseille d'installer ufw:
https://wiki.archlinux.org/index.php/Un ... d_Firewall
C'est ce que j'ai fait sur ma machine, il y a déjà une liste de règles que tu peu activé facilement, et au besoin, tu peut crée ta propre règles pour un programmes ou service bien précis.
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 17:36
par waitnsea
Bonjour AchilleFraisse,
Si j'en crois tes autres posts, tu n'as pas encore fini d'installer Arch sur ton nouveau PC. Un firewall n'est pas une urgence, il y en a un d'incorporé à la box que tu utilises sûrement, en procédant par étapes tu isoleras et résoudras les problèmes au fur et à mesure.
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 19:05
par AchilleFraisse
waitnsea a écrit :Bonjour AchilleFraisse,
Si j'en crois tes autres posts, tu n'as pas encore fini d'installer Arch sur ton nouveau PC. Un firewall n'est pas une urgence, il y en a un d'incorporé à la box que tu utilises sûrement, en procédant par étapes tu isoleras et résoudras les problèmes au fur et à mesure.
Ah... Moi je voulais le paramétrer le plus vite possible pour eviter d'avoir des cochonerie sur mon PC. Je ne savais pas que ma box orange en avais un..
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 19:33
par benjarobin
Euh... Un par-feu ne permet pas d'éviter d'avoir des "cochonneries"... Pour toi c'est quoi un par-feu ?
La box n'a pas réellement de par-feu, cela y ressemble, c'est ce que l'on appelle du NAT. Et on peu assez facilement faire des trous dans un NAT
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 19:57
par AchilleFraisse
benjarobin a écrit :Euh... Un par-feu ne permet pas d'éviter d'avoir des "cochonneries"... Pour toi c'est quoi un par-feu ?
Pour moi, un pere-feu permet d'éviter des intrusions extérieures sur mon PC lorsqu'il est connecté au réseau et dnc d'éviter d'avoir des programme qui viennent polluter mon Linux (les cochonneries)
Re: [iptables] pare-feu
Publié : dim. 15 févr. 2015, 21:29
par benjarobin
Tu sais que la probabilité d'attraper des "cochonneries" avec un PC sous Linux à jour, sans aucun service en écoute, et sans toucher le PC, est proche de zero ?
Tu as bien plus de "chance" d'attraper des "cochonneries" en naviguant sur internet avec un navigateur Web et avec un par-feu ultra restrictif, que sans par-feu sans naviguer sur internet.
Les "cochonneries" ne vont pas comme par magie arriver sur ton PC, il te faut plusieurs choses : Un PC avec des failles non corrigé, ne pas avoir de chance, une personne très motivé qui devra passer le NAT de ta BOX, puis exploiter une faille de ton système (sans service qui écoute sur un port bonne chance...)
Pour moi le par-feu sert premièrement à limiter l'accès un service à un groupe de personne. Par exemple je ne veux pas que mon serveur Mysql soit accessible depuis l'extérieur mais uniquement depuis le réseau locale : le par-feu permet de rajouter une barrière de sécurité supplémentaire.
Re: [iptables] pare-feu
Publié : lun. 16 févr. 2015, 08:32
par AchilleFraisse
Mais sous Windows, il y en a des "cochoneries".. Toutes les pubs et les logiciels à la con qui viennent s'installer automatiquement. .. .
Re: [iptables] pare-feu
Publié : lun. 16 févr. 2015, 08:36
par Moviuro
AchilleFraisse a écrit :Mais sous Windows, il y en a des "cochoneries".. Toutes les pubs et les logiciels à la con qui viennent s'installer automatiquement. .. .
C'est ce qui se passe quand tu installes un logiciel sur ta machine. Les intrusions réseau sont beaucoup moins fréquentes que les infections virales.
Aussi, de manière générale, un pare-feu, il bloque soit le traffic vers l'extérieur, soit le traffic vers l'intérieur (et la seconde méthode est plus simple à comprendre : tu laisses tout partir de ta machine et tu interdis à quiconque d'initier une conversation avec elle).
++
Re: [iptables] pare-feu
Publié : lun. 16 févr. 2015, 10:17
par benjarobin
AchilleFraisse a écrit :Mais sous Windows, il y en a des "cochoneries".. Toutes les pubs et les logiciels à la con qui viennent s'installer automatiquement. .. .
Cela fait maintenant plus de 5 ans que je n'ai pas eu le cas, et le vecteur de propagation était une clé USB. Sinon très récemment dans l'entreprise où je travail on a eu une petite épidémie, et le vecteur de propagation était une pièce jointe d'un émail (Il y a toujours des personnes pour ouvrir les pièces jointes même dans un émail suspicieux).
Bref, non aucune "cochoneries" ne s'installe automatique, c'est uniquement la faute de l'utilisateur, ne pas le reconnaitre est se voiler la face. Après je ne dis pas qu'en 5 ans on peut avoir 1 coup de mal chance ou d'inattention.