Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptables, domaine et plage de ports aléatoire

Ansuz

Bonjour,

J'utilise un VPN depuis plusieurs années et un parefeu afin de sécuriser.
Mes connaissances iptables sont limitées, ça fonctionne plutôt bien, mais ces derniers temps, j'ai remarqué des difficultés de connexions sur certains serveurs.

Jusqu'à présent, j'utilise ce type de ligne :

iptables -A OUTPUT -p UDP --dport XXXX -d XXX.XXX.XXX.XXX -m state --state NEW -o $interfaceWWW -j ACCEPT

En fait, j'ai relevé que le domaine demandé utilise cinq adresses IP, mais aussi deux plages de ports.
Donc, adresses IP et ports attribués aléatoires lors de la connexion.

Vous l'aurez compris, les règles que j'ai établies dans mon parefeu fonctionnent, mais uniquement lorsque l'IP et le port concordent...

Comment dois-je procéder afin que les diverses IP, ainsi que les plages de ports soient automatiquement autorisées lors de la connexion ?
Doit-on écrire une ligne par adresse IP, ou le nom de domaine peut-il à lui seul réaliser cette tâche ?
Quelle est la meilleure façon de procéder ?

Merci par avance pour vos explications et votre aide précieuse.

[supprimé]

Bonjour !

Perso je ne me ferais pas de restriction avec les ports, je les autoriserai tous (ou alors si tu ne veux pas tous les autoriser et que tu sais que (par exemple) le serveur que tu cherches à joindre n'utilise que la plage de port de 3000 à 4000)), dans ce cas tu autorises les ports de 3000 à 4000 (dans ta règle IPTABLES) et comme tu dis que seulement 5 adresses ip sont utilisées par ce(ces) serveurs, alors tu crées 5 nouvelles règles IPtables, comportant chacune une des bonne adresse IP et collée à ces cinq règles, la plage de port autorisés !

Ce serait compliqué pour toi ? Je débute aussi avec IPtables, désolé si tu as déjà testé cette solution.

A +

Brunod

Pourquoi limiter les sorties en OUTPUT ?
Et qu'autorises-tu en INPUT ?
Le plus simple ne serait-il pas autoriser tout en output et autoriser les retours en established ?
Une copie de toutes tes règles iptables clarifierait la compréhension. 😉

[supprimé]

Oui d'un côté Brunod n'a pas tort, j'utilise un jeu de règles ressemblant à ceux-ci : http://forum.ubuntu-fr.org/viewtopic.php?pid=15870911#p15870911 ça fonctionne très bien 😉

Brunod

@pascal : Ton pc sert de passerelle ? Si non, ta règle forward devrait plutôt être à drop. Une porte que l'on n'utilise pas, on ne la laisse pas ouverte 😉

[supprimé]

Oui elle l'est merci brunold. Je précisais que mes jeux de règles étaient ressemblant à ceux-ci car je l'ai ai modifié entre temps (et j'ai modifié en drop le forward oui !!)

Brunod

🙂

Ansuz

Bonjour,

J'ai compris qu'il faut ajouter une règle par adresse IP autorisée.
Cela semble fonctionner avec les lignes de ce type :

iptables -A OUTPUT -p UDP -m multiport --dport xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx,xxxx -d XXX.XXX.XXX.XXX -m state --state NEW -o $interfaceWWW -j ACCEPT

Ne serait-il pas pas possible de simplifier, afin d'éviter d'obtenir une ligne interminable, notamment la plage de port si celle-ci est contiguë ?
Par exemple, autoriser les ports entre 1000 et 2000.

Pardonnez mon ignorance dans ce genre d'exercice, j'essaie d'apprendre, mais surtout de comprendre.
Dans la syntaxe, quelle est la différence entre 1000,2000 et 1000:2000 ?
Si j'ai bien compris, avec la virgule seuls les ports 1000 et 2000 sont autorisés, puis dans le second cas tous les ports entre 1000 et 2000 sont autorisés ?

Peut-on pour une même IP, mettre deux plages de port autorisées sur la même ligne ?

Brunod

Les lignes OUTPUT servent à contrôler les sorties. Elles ne règlent rien en ce qui concerne la protection en entrée.
Logiquement, on ne s'interdit pas de sortir vers certains endroits si on sait ce qu'on fait. Le plus simple est d'autoriser toutes les sorties, et d'autoriser les retours sur base des requêtes qui sont sorties, via established.

[supprimé]

Pas mieux que Brunod. Avant j'avais des politiques à rallonge en sortie, alors que je sais ce que j'installe sur mon système d'exploitation, et je maintiens une politique stricte sur ce PC, je n'autorise pas que quelqu'un l'utilise pour mettre un logiciel ou faire des sauvegardes, installer des PPA etc.. du coup, j'ai arrêté de filtrer le ssorties, je laisse tout passer, à part ce que je ne veux pas laisser sortir, cela se résume à quelques ports reliés à certains logiciles c'est tout. Par contre en entrée (INPUT) la politique est DENY, et je laisse faire en gros ce que j'ai mis en lien au dessus (ce lien là : http://forum.ubuntu-fr.org/viewtopic.php?pid=15870911#p15870911 ), voilou, c'est pour moi assez sécuritaire, et j'ai gagné en confort d'utilisation sur les sorties (OUTPUT), je ne reviendrais pas en arrière, car les règles de mon lien m'ont été dicté par un membre qui avait tout compris sur ce que je cherchais à faire avec IPtables, mais surtout j'ai compris que pour OUTPUT, s'il n'y a pas un logiciel dont tu veux bloquer l'accès en sortie et tous ses fluxs spécifique à un ou des ports), comme la rêgle est par défaut ACCEPT (pour OUTPUT) et non pas DENY (comme on vient de le voir pour INPUT juste au dessus), c'est alors très simple de bloquer les sorties !

@ plus !

Ansuz

Effectivement, Monsieur de La Palisse n'aurait pas dit mieux...

[supprimé]

Ah flûte, cela ne t'a pas aidé du tout du coup ?

Brunod

Si
tu drop tout comme policy en entrée et en forward,
tu autorises tout en policy sortie,
autorise la loopback et
permet toutes les rentrées en established, tout devrait fonctionner sans aucun problème et en peu de règles.

[supprimé]

Un merci viendra peut-être ? 🙂

Ansuz

Oui, désolé ! Merci à tous les deux de m'accorder un peu de votre temps. 😉
J'étais plongé dans la lecture du lien ci-dessus. intéressant, mais ça demeure compliqué vis à vis de mes maigres connaissances dans le domaine.
Quand je dis débutant en iptables...

Brunod a écritSi
tu drop tout comme policy en entrée et en forward,
tu autorises tout en policy sortie,
autorise la loopback et
permet toutes les rentrées en established, tout devrait fonctionner sans aucun problème et en peu de règles.

Navré, mais j'ai du mal à suivre. Ce langage est obscur à mes yeux...

Mon parefeu est basé sur ceci : (voir post #78)
http://forum.ubuntu-fr.org/viewtopic.php?id=322750&p=4

Qu'en pensez-vous ?

[supprimé]

Bonjour et de rien alors !

Ce qu'il faut savoir c'est ce que tu cherches à faire. si tu es sur un serveur, il faudrat paramétrer IPtables différement, si maintenant tu cherches à administrer IPtables depuis ton PC personnel, alors les règles qui suivent sont optimales (toujours en sachant que tu n'autorises personne à installer un programme quelconque sur ton PC, mais là aussi il faudrat que tu répondes à cette question : Es-tu le seul à pouvoir (au moyen de ton mot de passe ROOT) installer des logiciels sur ce PC dont tu cherches à affiner les règles IPtables stp ? )

Si après avoir répondu à ces questions, tu te rends comptes que tu es le seul à ajouter des programmes sur ton PC et que ce PC est un PC personnel (celui de ton salon, de ta chambre, ton portable, bref ton PC) alors les règles suivantes sont optimales, tu n'auras pas mieux pour sécuriser ton PC perso.:

iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

Si tu veux bloquer un port (d'un certain programme) et en UDP et en TCP (pour cet exemple prenons 2 ports à bloquer) pour le port 7396 et pour le port 36330 (si ta machine est un PC personnel) il faut faire cela :

#sports s'il s'agit de port de ta machine
iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP

edit: pour interdire un site rajouter ip du site.
iptables -t filter -A OUTPUT -d xxx.xxx.xxx.xxx.xxx -j DROP

Un lien qui peut t'apporter des renseignements sur les lignes de commandes IPtables du dessus : http://doc.ubuntu-fr.org/iptables

Mieux expliquer je peux pas, et surtout, cela va t'éviter de te triturer le cerveau pendant encore 25 longs mois ou 25 longues années, pour te rendre compte que finalement, IPtables se paramètre comme ça pour un PC personnel dont tu es le seul à maîtriser l'installation des programmes !

Maintenant si tu es sur un serveur ce sera autre chose. A + 😃

Ansuz

Salut,

Effectivement, je suis le seul utilisateur de mon PC personnel et je ne doute pas du bien-fondé de tes explications qui sont suffisamment claires.
J'ai déjà eu recours à la doc Ubuntu sur iptables, mais je n'ai pas encore assimilé toutes les subtilités. 😉

Cependant, tu ne parles pas du lien que j'ai évoqué ci-dessus, sur lequel est basé mon parefeu.
Pardonne mon ignorance, mais le contenu est assez différent, est-ce la présence d'un VPN qui exige ces différences ?
Qu'en penses -tu ? (explications bienvenues, merci)

Ça fonctionne, mais je cherche à affiner les règles IPtables et par conséquent mieux comprendre.

Brunod

Ansuz a écritSalut,
...
Cependant, tu ne parles pas du lien que j'ai évoqué ci-dessus, sur lequel est basé mon parefeu.
...

Lien sur beaucoup de données, "basé sur" ne veut rien dire de précis...
IP tables, c'est rigoureux.
Que donne

cat /etc/iptables/rules.v4

?
EDIT :
La première question, c'est de savoir si ton pc sert de passerelle vers d'autres; en clair si des données passent au travers comme dans un routeur, ce qui suppose qu'il dispose de min 2 interfaces filaires utilisées en même temps.
Si c'est non, la policy forward doit être en drop

La seconde question : ton pc sert il de serveur pour d'autres ? Dont d'autres pc du lan ou internet doivent-ils s'y connecter pour utiliser certains service (web, samba...)
Si c'est non, rien ne doit être autorisé en entrée. policy input drop.

Si on part sur un pc familial qui fait ce que tu veux et que tu contrôles, tu as droit d'accéder à tout sur internet et ailleurs; donc policy output accept.

Les 3 policy sont les règles de bases. Maintenant on passe au détail.
Si tu peux sortir sur internet pour demander des données, il serait judicieux que ces données puissent revenir et rentrer sur ton pc. Là ça sort du cadre de cette explication, mais chaque type de requête a son canal. C'est donc difficile à paramétrer finement et définitivement. On simplifie donc avec une sécurisation max en autorisant les rentrées de données en réponse à toutes requêtes venant de l'intérieur (established) ou liées à une de celle-ci (related)

Enfin, ne jamais oublier de laisser passer la loopback.

En clair :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ALLOW

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Est-ce plus clair ? 🙂

EDITBIS : Grillé pendant mon edit1 :/
🙂

[supprimé]

Tu cherches à affiner les règles IPtables dans quel sens stp, peux-tu me donner un exemple, cela sera plus clair pour moi, merci beaucoup. Le lien au dessus je n'ai pas tout compris désolé.

Sinon je bosse avec deux services VPN (j'ai deux abonnements, dont un chez Proxy.sh qui est vraiment optimal, voir ici : https://proxy.sh/ d’ailleurs à thermes je vais basculer chez eux c'est tout). J'utilise donc OPENVPN pour me connecter à leur serveurs VPN. J'ai analysé les données de connexions sur Proxy.sh et mon autre fournisseur de VPN, par la commande :

ps xaf

Pour Proxy.sh cette commande me donne la force du chiffrement de OpenVPN ET Proxy.sh, sur celle-ci on est sur de l'AES-256 en termes de force de chiffrement de toutes tes données qui transitent entre ton PC et le serveur de Proxy.sh. Le chiffrement de tes identifiants et mot de passe sont indiqués aussi par cette commande et elle dit que c'est SHA-512 qui est utilisé pour leur protection(le top). Mon autre VPN, Vyprvpn, ne dit rien par la même commande, mais cela ne m'étonne pas, eux gardent des logs sur toi, tandis que Proxy.sh non, rendant toutes demandes d'informations sur toi nulles, pour par exemple les tribunaux français.(et là, au tribunal, on peut s'y retrouver pour trois fois rien en France, ou dans d'autres pays aussi), sachant cela par expérience personnelle, mon surf est bouclé niveau sécurité. Certains diront c'est trop, tu fais n'importe quoi, je ne leur souhaite pas mes mésaventures, évidemment.

Donc les règles IPtables que je t'ai donné sont optimales pour ce genre de VPN(VYPRVPN ou PROXY.SH car ils utilisent otus les 2 OPENVPN), et de toutes façons, ce n'est pas moi qui le dit, ce sont les modes d'emploi d'IPtables, et le membre Wholes qui m'avait éclairé là dessus à l'époque en cette phrase :

Pour comprendre IPtables, tout n'est que positionnement et sens des fluxs.

Par le positionnement il faut comprendre par là que dans ta tête il faut que tu saches pile poil où est placé ton ordinateur dans ton réseau local et par rapport à internet. Par exemple tu peux être directement relié à Internet (sans BOX genre Freebox, Livebox etc...) du coup les règles de pare-feu que je t'ai donné au dessus sont évidemment de rigueur, en faire d'autres n'auraient pas de sens. ensuite si tu es derrière une BOX, tu es déjà en dehors du réseau Internet (via la fonction routeur de ta BOX) mais là, j'ai préféré Intercaler encore un routeur derrière ma BOX, poru être en "dehors de ma box", c'est une sécurité superflue selon certains, pour moi elle ne l'est pas, en cas de défaillance de celle-ci, j'ai mon second routeur intercalé qui fera écran, et derrière j'ai IPtables bien paramétré.... C'est sur que si mon deuxième routeur tombe, il n'y aura plus que mon PC et Internet, mais là Internet aura ma vraie adresse MAC, ma Vraie IP, tandis que là je suis derrière deux routeurs, les deux avec des adresses MAC différentes, des IP locales différentes, bref, j'ai de la marge en type d'"attaques frontales".

Bon c'est pour dire le positionnement est important. Soit ton PC est relié via modem directement au Net, soit tu es derrière une BOX ou soit tu es comme moi dans le sens TON PC ---> un routeur (+ son pare-feu activé) ---> ta box ---> Internet.

Ça c'est pour le positionnement.

Maintenant on va voir le SENS des fluxs.

Ton PC est disons derrières ta BOX. Elle t’envoie des données, qui arrivent sur la chaîne Iptables appelée : INPUT, tu lui réponds par la chaîne IPtables appelée OUTPUT. Donc on comprends que le danger peut-être tout ce que l'on a pas désiré et qui vient directement sur INPUT. Alors selon les règles que je t'ai donné au dessus on met :

iptables -t filter -P INPUT DROP

DROP veut dire que les paquets qui arrivent sur INPUT sont tués. Ils ne sont pas retournés vers la machine qui te les envois depuis l'extérieur, ils sont tués c'est tout, ou abandonnés, mais DROP ne génère pas de réponse de ta machine vers la machine externe. Tandis que si tu mets ça :

iptables -t filter -P INPUT REJECT

Là IPtables envoie un signal vers la machine qui te contacte depuis l'extérieur, et du coup c'est dangereux car en faisant cela, IPtables indique que ta machine existe bien et qu'en plus elle est route et peut lui répondre !! Pas glope.

Ça c'est pour la première ligne, tu peux t'en inspirer pour la règle sur FORWARD, on la met en DROP aussi, si tu ne t'en sers pas. Si tu ne sais pas ce que c'est FORWARD à l'heure actuelle et que tu ne l'utilises pas au moment où tu es en train de me lire, alors c'est que tu n'en as pas besoin, donc FORWARD est mis en DROP c'est tout.

Maintenant la chaîne OUTPUT. Très intéressante aussi, elle est capable de répondre à une machine. Mais attention, on la met sur ACCEPT par cette commande :

iptables -t filter -P OUTPUT ACCEPT

Sans créer de faille de sécurité, car tu administres TON PC et tu y installes les logiciels que TU VEUX. Bien sûr un rootkit passera les doigts dans le nez si tu l'as installé toi-même, mais ça je pense que tu l'auras compris... Donc, la règle est : c'est ma machine et je fais confiance en ma machine parce que c'est moi qui la dirige, c'est la seule définition à retenir. Donc en partant de ce constat et en sachant que tu n'as pas installé d'autres paquets que ceux de la logithèque ou de Synaptic, tu sais que ton PC sous Ubuntu est saint, tout simplement. Maintenant si tu n'as pas confiance en toi et que tu ne fais pas confiance en ta machine, une chose simple est de réinstaller Ubuntu c'est tout, c'est tout con, mais au moins tu seras sûr de repartir sur de bonnes bases. Je pense que tu comprends tout jusqu'ici.

Mais alors, pourquoi mon PC arrive à lancer Firefox et à surfer alors que j'ai tout interdit via ma chaîne INPUT, j'ai tout mis en DROP et ça passe ???? Qu'est-ce que c'est que cette histoire ??!!!!

A cause des deux lignes là :

iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A INPUT -i lo -j ACCEPT

Le mot "state" en anglais veut dire "état". La première ligne du dessus veut sire que les connexions vont être autorisé DEPUIS internet seulement dans les deux états (state) suivant : ESTABLISHED,RELATED

Là c'est intéressant car on a pas indiqué à IPtables l'état (state) NEW !!!!! Cela n'aurait aucun sens, car cela indiquerait à IPtables que l'on accepte toutes les NOUVELLES connexions DEPUIS internet via INPUT !! Cela veut dire que l'on accepte toutes les connexions que l'on a pas nous-mêmes initiés depuis notre PC !!!

Alors à quoi bon mettre ceci :

iptables -t filter -P INPUT DROP

si on annule DROP en mettant simplement l'état NEW dans la ligne qui suit :

iptables -t filter -A INPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Cela n'aurait aucun SENS !!! (Tout n'est question que de positionnement et de SENS de FLUXS !!!)

Alors la bonne règle IPtables pour INPUT et qui protège notre PC d'intrusions NON-AUTORISÉES et INITIÉES depuis internet est celle-ci, (car elle ne comporte pas NEW) :

iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Et enfin, il faut autoriser les échanges entre ta carte réseau (du PC) et l’extérieur avec celle-ci :

iptables -t filter -A INPUT -i lo -j ACCEPT

Car si tu ne fais pas cette dernière, ton PC ne sera pas connecté à Internet (ou au réseau local dont ut essais de l'affilier).

Donc Firefox est une application lancée DEPUIS ton PC, et non PAS DEPUIS l'extérieur, de ce fait, tu n'es pas en NEW, tu es dans la catégorie ESTABLISHED,RELATED, donc Firefox va recevoir les réponses de l'extérieur, parce qu'avec toutes les règles que l'on vient de voir, tu as dit à IPtables comment faire.

ESTABLISHED veut dire en gros que c'est toi qui l'a lancé (et qu'elle est établie bien sûr) avec l'internet (par exemple pour l'application Firefox que toi tu viens de lancer depuis ton PC) et RELATED ça sert pour les flux genre FTP, le port 20 et 21 sont RELATED (en relation avec le protocole FTP).

Fait un essai, laisse ton PC reposer deux minutes, tu coupes tout ce qui touche à une connexion Internet (Firefox Thunderbird, Transmission....) et tu fait dans un terminal un

netstat -utapW

Regarde ce qui reste en ESTABLISHED. Chez moi quand je fais ça, il n'y a plus rien...... (Parce que j'ai tout viré ce que je n'aimais pas aussi hein, ilse peut que chez toi tu aies des choses, mais si dans ces choses tu as quelques chose que tu ne connais pas, GOOGLE est là).

Les liens de documentations officielles et alternatives :

Lien 1 : http://www.netfilter.org/documentation/index.html
Lien 2 : Sur le suivant à la ligne appelée Translations : il faudra choisir la langue qui t'intéresse, et le français y est : https://www.frozentux.net/documents/iptables-tutorial/

Si tu as des questions je reste là, A+

Ansuz

D'abord, je réitère mes remerciements à vous deux !

Très intéressantes vos remarques et suggestions, dont je prends bonne note. 😉

@Brunod

cat /etc/iptables/rules.v4 
cat: /etc/iptables/rules.v4: Aucun fichier ou dossier de ce type

@-pascal34-

netstat -utapW

En fait, j'obtiens trois "ETABLISHED" :
Deux concernent mon VPN, donc je considère que c'est normal, je l'ai autorisé sinon je n'aurais plus de connexion du tout je présume ?
La troisième "microsoft-ds", que vient-il faire ici celui la ?

C'est grave docteur ?

pascal34 a écritpeux-tu me donner un exemple, cela sera plus clair pour moi, merci beaucoup. Le lien au dessus je n'ai pas tout compris désolé.

En fait, je me connectes via un VPN (openvpn).
Donc mon parefeu est censé bloquer tout échange si le VPN tombe. En effet, si je stoppe le parefeu, plus rien n'entre ni ne sort. (en théorie)
Cependant, au fil du temps, mon prestataire VPN à changé les adresses IP de certaines destinations, de même que la plage de ports qui ne correspondent plus au fichier .conf d'origine.
Je me retrouve donc avec des destinations obsolètes et inopérantes, ou valides mais ne fonctionnant plus.
Mon souci est que je dois paramétrer ceci, je ping le domaine pour trouver les IP correspondantes, mais pour les ports... je lance la connexion manuellement et je relève les ports dans le terminal.
Au départ, dans la configuration fournie il y a le nom de domaine pour la passerelle et un port.

Page suivante »