Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Regles iptables

catapicultrophe

Bonjour à tous,

Voila je rencontre des difficultés à mettre en place des regles itables.

j'ai un serveur HTTP et SSH sur un réseau 192.168.1....

J'ai appliqué les regles NAT à mon routeur. La redirection se fait correctement. Maintenant, j'aimerais mettre en place mes règles pour que seuls quelques adresses IP publiques puissent y avoir accès.

Voila mon script au démarrage (inspiré par la page http://doc.ubuntu-fr.org/iptables) :

#!/bin/bash
sudo iptables -F INPUT
sudo iptables -F OUTPUT
sudo iptables -F FORWARD

# on interdit le trafic IPv6
sudo ip6tables -P INPUT DROP

# trafic local
sudo iptables -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT

# trafic system
sudo iptables -A INPUT -p tcp -s 192.168.1.254 -j ACCEPT

# trafic SSH
sudo iptables -P INPUT -p tcp --dport 22 DROP
sudo iptables -A INPUT -p tcp --dport 22 -s <IP_PUBLIQUE> -j ACCEPT

# trafic HTTP
sudo iptables -P INPUT -p tcp --dport 80 DROP
sudo iptables -A INPUT -p tcp --dport 80 -s <IP_PUBLIQUE> -j ACCEPT

# liste des regles
sudo iptables -L
sudo ip6tables -L

Et voila ce qu'il se passe lorsque je lance le script :

root@WEBSERVER:~$ /etc/init.d/iptables
iptables v1.4.12: -X requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.12: -X requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information.
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  localhost            anywhere
ACCEPT     tcp  --  192.168.1.254       anywhere
ACCEPT     tcp  --  <IP_PUBLIQUE>  anywhere             tcp dpt:ssh
ACCEPT     tcp  --  <IP_PUBLIQUE>  anywhere             tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (0 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
Chain INPUT (policy DROP)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

J'ai des erreurs concernant l'estension -X alors que je ne l'utilise pas ...

Quelqu'un pourrait me dire si :
1° - mon code est cohérent et sans erreur
2° - d'ou vient le message "iptables v1.4.12: -X requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information."

Merci d'avance.

orionis54

as tu déjà tester chacune de tes règles en ligne de commande et non via le script. ainsi tu verra surement celle qui te bloque

Yann

Ou un simple "set -x" en début de script pour afficher les commandes l'une aprés l'autre, tu verras bien lesquelles posent problème!

Note: je suis pas bien sur de comprendre ce que tu fais... Tu es sur que c'est correct? Quand tu fais ceci:

sudo iptables -P INPUT -p tcp --dport 80 DROP

Le -P est pour définir la policy par défaut pour la chaine INPUT, mais que viennent chercher là -p tcp --dport 80 ?
Ensuite:

sudo iptables -A INPUT -p tcp --dport 22 -s <IP_PUBLIQUE> -j ACCEPT

Tu as changé ca a la main et normalement il y a une adresse IP là? 🙂
Si tu dis exactement ce que tu veux faire je veux bien te filer un coup de main!

Bonne chance