Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Script iptables

sebastien31

Bonjour à tous.

Je le permet d'ouvrir cette discution car je souhaite réaliser un script iptables.

Dans ma réalisation je souhaite bloquer le trafic et accepter uniquement les ports pour apache 443, ssh, smtp.

Mon problème est que après avoir bloqués le trafic même si j ouvre des ports ça ne fonctionne fonctionne pas.

Merci de votre aide.
Amicalement.
Sébastien

bruno

Bonjour,

Sans voir le script en question il est impossible de té répondre.

sebastien31

Bonsoir,
Bruno, oui avec le code c'est mieu.
C'est un script que j'ai trouver sur internet.

 #!/bin/bash

    iptables-restore < /etc/iptables.test.rules

    ## Script iptables by BeAvEr.

    ## Règles iptables.

    ## On flush iptables.


    iptables -F

    iptables -X

    iptables -t nat -F

    iptables -t nat -X

    iptables -t mangle -F

    iptables -t mangle -X



    ## On drop les requêtes ICMP (votre machine ne répondra plus aux requêtes ping sur votre réseau local).



    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP



    ## On récupère notre adresse internet. À utiliser seulement si vous êtes derrière un réseau local.



    export ip=$(/sbin/ip addr | grep 'state UP' -A2 | tail -n1 | awk '{print $2}' | cut -f1  -d'/')



    ## Allow Samba.



    iptables -t raw -A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns



    ## Allow Avahi-daemon (seulement notre LAN. Si vous n'avez pas de LAN, supprimer la partie --source $ip/24).



    iptables -A INPUT -p udp -m udp --source $ip/24  --dport 5353 -j ACCEPT



    iptables -A INPUT -p udp -m udp --source $ip/24  --dport 427 -j ACCEPT



    ## On accepte le Multicast.



    iptables -A INPUT -m pkttype --pkt-type multicast -j ACCEPT



    ## On drop tout le trafic entrant.



    iptables -P INPUT DROP



    ## On drop tout le trafic sortant.



    iptables -P OUTPUT DROP



    ## On drop le forward.



    iptables -P FORWARD DROP



    ## On drop les scans XMAS et NULL.



    iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP



    iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP



    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP



    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP



    ## Dropper silencieusement tous les paquets broadcastés.



    iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP



    ## Permettre à une connexion ouverte de recevoir du trafic en entrée.



    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT



    ## Permettre à une connexion ouverte de recevoir du trafic en sortie.



    iptables -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT



    ## On accepte la boucle locale en entrée.



    iptables -I INPUT -i lo -j ACCEPT



    ## On log les paquets en entrée.



    iptables -A INPUT -j LOG



    ## On log les paquets forward.



    iptables -A FORWARD -j LOG


    # web

    iptables -A INPUT -p tcp --tcp-flags 80 -j DROP
    iptables -A OUTPUT -p tcp --tcp-flags 80 -j DROP
    iptables -A INPUT -p tcp --tcp-flags 443 -j DROP
    iptables -A OUTPUT -p tcp --tcp-flags 443 -j DROP


    exit 0

bonne soirée.
Merci d'avance.
Sébastien

Zakhar

Seriously... avec un commentaire "Web"

iptables -A INPUT -p tcp --tcp-flags 80 -j DROP
iptables -A OUTPUT -p tcp --tcp-flags 80 -j DROP

Tu m'étonnes que ça marche pas ! :lol: :lol:

bruno

Effectivement ton script ne peut pas fonctionner. De manière générale il vaut mieux éviter de prendre n'importe quel script trouvé sur le web sans comprendre exactement son fonctionnement.
De toute façon le pare-feu est généralement inutile. Je rappelle que le noyau ne traite que les paquets à destination d'un port pour lequel un service est en écoute sur la machine. Un pare-feu qui bloque tout le trafic entrant sauf à destination des ports correspondant a des services actifs ou aucun pare-feu c'est pareil.

Si tu veux absolument configurer un pare-feu regarde la doc [doc]ufw[/doc] ou [doc]iptables[/doc].