Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

Nathaly01

Arrêtez de vous chamailler les garçon, ça fait rien avancer et c'est fatigant à lire !!!

Résultat de la commande netstat :

netstat -tulnp

xx.xxx.xxx.xxx = Adresse IP public sur eth1
192.168.xx.xx = Adresse IP réseau interne sur eth0
xx.x.x.x = Adresse IP du tunnel OpenVPN

no talloc stackframe at ../source3/param/loadparm.c:4864, leaking memory
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      853/smbd        
tcp        0      0 192.168.xx.xx:53        0.0.0.0:*               LISTEN      1164/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1164/named      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1493/sshd       
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1164/named      
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      853/smbd        
tcp6       0      0 :::139                  :::*                    LISTEN      853/smbd        
tcp6       0      0 :::22                   :::*                    LISTEN      1493/sshd       
tcp6       0      0 :::445                  :::*                    LISTEN      853/smbd        
udp        0      0 0.0.0.0:17366           0.0.0.0:*                           1365/dhclient   
udp        0      0 0.0.0.0:3114            0.0.0.0:*                           1123/dhcpd      
udp        0      0 192.168.xx.xx:53        0.0.0.0:*                           1164/named      
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1164/named      
udp        0      0 0.0.0.0:49213           0.0.0.0:*                           1883/dhclient   
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1123/dhcpd      
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1883/dhclient   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1365/dhclient   
udp        0      0 xx.xxx.xxx.xxx:123      0.0.0.0:*                           1494/ntpd       
udp        0      0 xx.x.x.x:123            0.0.0.0:*                           1494/ntpd       
udp        0      0 192.168.xx.xx:123       0.0.0.0:*                           1494/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           1494/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1494/ntpd       
udp        0      0 xx.xxx.xxx.xxx:137      0.0.0.0:*                           989/nmbd        
udp        0      0 xx.xxx.xxx.xxx:137      0.0.0.0:*                           989/nmbd        
udp        0      0 192.168.xx.255:137      0.0.0.0:*                           989/nmbd        
udp        0      0 192.168.xx.xx:137       0.0.0.0:*                           989/nmbd        
udp        0      0 0.0.0.0:137             0.0.0.0:*                           989/nmbd        
udp        0      0 xx.xxx.xxx.xxx:138      0.0.0.0:*                           989/nmbd        
udp        0      0 xx.xxx.xxx.xxx:138      0.0.0.0:*                           989/nmbd        
udp        0      0 192.168.xx.255:138      0.0.0.0:*                           989/nmbd        
udp        0      0 192.168.xx.xx:138       0.0.0.0:*                           989/nmbd        
udp        0      0 0.0.0.0:138             0.0.0.0:*                           989/nmbd        
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           1219/openvpn    
udp6       0      0 :::58188                :::*                                1883/dhclient   
udp6       0      0 :::4519                 :::*                                1123/dhcpd      
udp6       0      0 fe80::fec8:97ff:feb:123 :::*                                1494/ntpd       
udp6       0      0 fe80::2c0:9fff:fe3d:123 :::*                                1494/ntpd       
udp6       0      0 ::1:123                 :::*                                1494/ntpd       
udp6       0      0 :::123                  :::*                                1494/ntpd       
udp6       0      0 :::2186                 :::*                                1365/dhclient

Bigorno33

[modéré : pas de démarchage]

Haleth

seb a écrit Ah bon ? Ton FAI n'autorise que l'adresse MAC de ta box ?
Wow... C'est qui, le FAI ?

Beuh, c'est quoi le soucis :o

Bigorno33: tu n'es pas ici sur un site de rencontre, hein ?

tiramiseb

Tu as énormément de trucs en écoute !
Le pare-feu peut bloquer pas mal de requêtes non voulues c'est clair, mais il est préférable de mieux configurer ton système.
Comme indiqué plus haut, bloquer les ports de cette manière est un palliatif.

Je constate les choses suivantes (je souligne ce qui est un problème d'après moi) :
- Samba en écoute sur toutes les interfaces, en ports 137, 138, 139 et 445 : il faut configurer Samba pour n'écouter que sur le réseau interne ;
- Bind9 est bien configuré, il n'écoute pas sur l'interface publique ;
- OpenSSH est en écoute partout, c'est normal ;
- ton serveur DHCP est en écoute sur toutes les interfaces, il faut le configurer pour qu'il n'écoute que sur le réseau interne ;
- tu as un client DHCP en fonctionnement, j'imagine qu'il est dédié à l'obtention de l'adresse IP publique, donc il est obligatoire ;
- le serveur NTP est en écoute un peu partout, il faut le configurer pour qu'il n'écoute que sur le réseau interne et sur 127.0.0.1 ;
- OpenVPN est en écoute partout sur le port 1194, je trouve ça normal car il faut bien pouvoir le joindre.

J'ajouterais au final qu'il est même préférable d'avoir une machine dédiée au filtrage réseau, sur laquelle il n'y aurait aucun service réseau en fonctionnement (à part OpenSSH bien sûr).

Si tu ne peux pas dédier une machine au filtrage et si tu suis mes conseils de reconfiguration, alors tu n'auras que trois choses en écoute côté public :
- le serveur OpenSSH
- le serveur OpenVPN
- le client DHCP

Ces trois étant nécessaires, si tu mets un pare-feu tu dois le configurer pour les autoriser. On voir alors en quoi un filtrage en entrée est inutile : tout ce qui serait bloqué n'est déjà pas en écoute...

Cela étant dit, pour faire office de passerelle tu auras forcément besoin de règles de pare-feu (table nat, du masquerading), pour cela je te conseille d'utiliser Shorewall qui te permettra de faire plein de choses sympa bien plus simplement qu'avec des commandes iptables. Et à partir de là, tu peux très bien bloquer aussi les flux entrants, à l'image de ce que tu fais actuellement, tant qu'à faire. Mais configure quand même correctement les logiciels : si jamais le pare-feu ne s'active pas, pour une raison ou pour une autre, tu seras bien contente que le système soit sécurisé sans lui.

Nathaly01

Les résultat des deux nmap que j'avais donné précédemment on été obtenu depuis mon portable connecté sur mon ancien FAI (Free) en passant par la connexion ADSL
C'est donc exactement ce que peux voir un éventuel "pirate" depuis internet ...
Je te rappelle que c'est un serveur Ubuntu 14.04 sans interface graphique qui sert aussi de routeur pour tout le réseau.
Je crains qu'en arrêtant le firewall, plus personne n'est accès à internet, je vais me faire "égorger" si je leur coupe les conversations Skype ou leur vidéo "youtube" !!!! :lol: 🙂

tiramiseb

Haleth a écrit
seb a écrit Ah bon ? Ton FAI n'autorise que l'adresse MAC de ta box ?
Wow... C'est qui, le FAI ?

Boah, pas spécialement de souci, ça m'étonne comme fonctionnement, c'est tout. Je n'y vois aucune utilité, de la part du FAI, en fait.

pires57

:lol: toujours en finesse Haleth :cool: :lol:
Tiramiseb:pour être honnête il n'y a pas qu'une question d'ennuis, c'est aussi une histoire de compréhension. shorewall est plus simple mais tout le mécanisme est caché. En utilisant iptables je peut illustrer mes schémas aux règles créés, ce qui est plus simple pour la compréhension des autres

tiramiseb

Je crains qu'en arrêtant le firewall, plus personne n'est accès à internet

Oui, c'est sûr que si c'est déjà en prod', tu ne vas pas faire des manips hasardeuses comme ça ; il faut tester les choses à des moments adéquats voire sur des machines de test dédiées 🙂

Si tu "arrêtes le pare-feu", alors tu arrêteras aussi ce qui concerne la table nat, ça posera clairement des problèmes d'accès.
Par contre, du coup, ce que tu as montré dans ton tout premier message ne correspond pas du tout à ce que tu décris là : dans le premier message, dans la chaîne FORWARD il n'y a que la policy en DROP et tu n'as pas de MASQUERADING dans la chaîne POSTROUTING de la table nat...

tiramiseb

pires57 a écritTiramiseb:pour être honnête il n'y a pas qu'une question d'ennuis, c'est aussi une histoire de compréhension. shorewall est plus sielle mais tout le mécanisme est caché. En utilisant iptables je peut illustrer mes schémas aux règles créés, ce qui est plus simple pour la compréhension des autres

De mon côté j'ai toujours trouvé plus simple, pour la compréhension, d'utiliser le concept de zones de Shorewall plutôt que des règles pour lesquelles on doit à chaque fois donner une source et/ou une destination explicitement.
(et si tu fais de la redirection dans des « user-defined chains », alors tu appliques juste manuellement la même logique que Shorewall... autant l'utiliser :p)

tiramiseb

Nathaly01: pour comparaison, voici le "netstat" de mon serveur, sur lequel aucun pare-feu n'est défini :

root@gibi:~# netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      3094/perl       
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      19335/mysqld    
tcp        0      0 127.0.0.1:10026         0.0.0.0:*               LISTEN      3204/master     
tcp        0      0 127.0.0.1:13419         0.0.0.0:*               LISTEN      25812/ccnet-server
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      3016/dovecot    
tcp        0      0 0.0.0.0:10001           0.0.0.0:*               LISTEN      25812/ccnet-server
tcp        0      0 127.0.0.1:8082          0.0.0.0:*               LISTEN      25822/httpserver
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2390/sshd       
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      3204/master     
tcp        0      0 127.0.0.1:8000          0.0.0.0:*               LISTEN      4276/python2.7  
tcp        0      0 0.0.0.0:12001           0.0.0.0:*               LISTEN      25820/seaf-server
tcp        0      0 127.0.0.1:10050         0.0.0.0:*               LISTEN      26054/zabbix_agentd
tcp        0      0 127.0.0.1:10051         0.0.0.0:*               LISTEN      25987/zabbix_server
tcp        0      0 127.0.0.1:10052         0.0.0.0:*               LISTEN      17021/sshd: autossh
tcp        0      0 127.0.0.1:10053         0.0.0.0:*               LISTEN      5739/sshd: autossh
tcp6       0      0 :::143                  :::*                    LISTEN      3016/dovecot    
tcp6       0      0 :::80                   :::*                    LISTEN      2489/nginx      
tcp6       0      0 :::22                   :::*                    LISTEN      2390/sshd       
tcp6       0      0 :::25                   :::*                    LISTEN      3204/master     
tcp6       0      0 :::443                  :::*                    LISTEN      2489/nginx      
tcp6       0      0 ::1:10052               :::*                    LISTEN      17021/sshd: autossh
tcp6       0      0 ::1:10053               :::*                    LISTEN      5739/sshd: autossh

On constate que tout ce qui n'est pas nécessaire publiquement est en écoute uniquement sur 127.0.0.1. En public, tout ce qu'on trouve c'est :
- OpenSSH
- Dovecot (IMAP)
- Ccnet et seaf-server (Seafile, synchro de fichiers)
- Postfix (SMTP)
- NginX (HTTP et HTTPS)

Notons que je devrais installer la nouvelle version de Seafile, qui passe la synchro en HTTPS (un port de moins à ouvrir).

Un nmap de cette même machine donne ça :

➜  ~  nmap www.tiramiseb.fr

Starting Nmap 6.46 ( http://nmap.org ) at 2014-12-24 00:35 CET
Nmap scan report for www.tiramiseb.fr (5.135.176.134)
Host is up (0.037s latency).
rDNS record for 5.135.176.134: ns3283259.ip-5-135-176.eu
Not shown: 994 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
143/tcp   open  imap
443/tcp   open  https
10001/tcp open  scp-config

Nmap done: 1 IP address (1 host up) scanned in 5.87 seconds

C'est cohérent.
Aucun de ces ports ne devrait être bloqué.
Donc pare-feu inutile.

Mais toi tu as besoin d'un pare-feu au moins pour la gestion de l'aspect "passerelle", bien sûr.

pires57

Je l'ai déjà tester quelques heures histoire de m'amuser un peu.
C'est justement les histoire de source et destination qui me permette d'illustrer tout cela pour des non informaticiens.

Une règle de masquerading oui, elle est nécessaire dans ton cas

Nathaly01

Ben oui pour mon nouveau FAI, c'est à priori comme cela qu'il nous identifie, et comme j'ai viré la box, je suis obligé d'avoir son adresse MAC, sinon, pas d'internet !!! 🙂

Alors je vais déjà commencer par bien configurer ces trois logiciels
Pour NTP, c'est bien dans NTP.conf qu'on fait ça ??
Parce que je ne vois que l'interface réseau interne dedans !!

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# Specify one or more NTP servers.

server ntp.univ-lyon1.fr
server ntp.imag.fr
server ntp1.imag.fr
server ntp2.imag.fr
server ntp.accelance.net


# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.

server 0.ubuntu.pool.ntp.org
server 1.ubuntu.pool.ntp.org
server 2.ubuntu.pool.ntp.org
server 3.ubuntu.pool.ntp.org

# Use Ubuntu's ntp server as a fallback.
server ntp.ubuntu.com

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

server 127.127.1.0
fudge 127.127.0 stratum 10

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
restrict 192.168.xx.0 mask 255.255.255.0 nomodify notrap


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

tiramiseb

Pour NTP c'est peut-être dans /etc/defaults/ntp...
Je sais que c'est un peu spécial et tordu, avec ce logiciel.

Pour ma part j'utilise OpenNTPd alors ce n'est pas pareil, je ne sais plus comment je faisais avant.

Nathaly01

tiramiseb a écrit
Je crains qu'en arrêtant le firewall, plus personne n'est accès à internet
Oui, c'est sûr que si c'est déjà en prod', tu ne vas pas faire des manips hasardeuses comme ça ; il faut tester les choses à des moments adéquats voire sur des machines de test dédiées 🙂

Si tu "arrêtes le pare-feu", alors tu arrêteras aussi ce qui concerne la table nat, ça posera clairement des problèmes d'accès.
Par contre, du coup, ce que tu as montré dans ton tout premier message ne correspond pas du tout à ce que tu décris là : dans le premier message, dans la chaîne FORWARD il n'y a que la policy en DROP et tu n'as pas de MASQUERADING dans la chaîne POSTROUTING de la table nat...

En effet, entre tant, j'ai trouver grâce à mon portable comment faire pour connecter tout mon réseau sur la fibre, dés qu'il ont su que j'y était arrivé, ils ont forcement tous voulu passer par la fibre. Avant, on avait 2Mo avec l'ADSL, maintenant, on en a entre 65 et 80 selon les heures mais j'ai fais que 4 tests de vitesse

Sir Na Kraïou

Bonsoir,
Bigorno33 (en particulier), merci de cesser le troll (agressivité à l’égard des autres contributeurs, dénigrement…) et le démarchage (le forum met en relation ses membres pour une aide publique, disponible pour toute la communauté et soumise à l’appréciation des pairs).

Et merci à tous de vous limiter à une discussion et des arguments techniques.

Nathaly01

Dans /etc/defaults/ntp, il n'y a que :

NTPD_OPTS='-g'

Pator75

"Heureux ?"

C'est un résultat sur Debian (port 111), pas sur Ubuntu, le 53 me semble curieux, il doit être ouvert/filtré je pense.

Laisse le ouvert... 22, 53, 80 un très bon choix...

"@tiramiseb: tu me gâches le plaisir, je voulais voir Pator75 me dire que j'avais des ports ouverts sur le loopback (127.0.0.1)."

pfff! sous Windows la boucle en écoute ils sont abonnés, ils ne meurent pas, y a un bon pare feu.

pires57

Je ne vois pas en quoi le fait dutiliser rcpbind sur le port 111 montre que tu es sous debian. Le port 53 est le port dns, cela me paraît plus que logique de le voir en écoute sur localhost!

Pator75

"J'attends pour ma part avec impatience le retour de netstat ainsi que l'éventuel retour d'un nmap exécuté sans pare-feu (ce dernier n'étant pas indispensable, c'est juste de la curiosité)"

Si mes souvenirs sont bons, sous Ubuntu avec Gufw ou Ufw, c'est parfait avec tous les scans Nmap sur un PC, sans pare feu ça va être un arc en ciel.

Bigorno33

Pator75 a écrit"J'attends pour ma part avec impatience le retour de netstat ainsi que l'éventuel retour d'un nmap exécuté sans pare-feu (ce dernier n'étant pas indispensable, c'est juste de la curiosité)"

Si mes souvenirs sont bons, sous Ubuntu avec Gufw ou Ufw, c'est parfait avec tous les scans Nmap sur un PC, sans pare feu ça va être un arc en ciel.

Tes souvenirs sont très bons je dirai même.

Pator75 a écrit
Oui mais tout le monde ne s'appelle pas Tira ou n'est pas conseillé par Tira, donc faut un pare feu.

Tout le problème est là pour une grande partie de ses "conseils", et pour le pare-feu, évidemment qu'il en faut un, et Iptables s'y prête parfaitement, si tant est qu'on sache l'utiliser 😉

Pator75 a écritBarbu en gestation qui vous souhaite un bon Noël.

Bon Noël barbu, merci 😛

« Page précédente Page suivante »