Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Question Regles iptables input et output

mangue

Bonjour,

Je suis en train de preparer mes regles iptables pour un serveur distant et je me posais une question.
Si les regles suivantes sont appliquees, et que les INPUT OUTPUT et FORWARD sont en DROP par defaut :

iptables -A INPUT -p tcp --dport ssh -j accept
iptables -i lo -j accept
iptables -m state --state ESTABLISHED,RELATED -j ACCEPT

Est ce que le SSH sera bloque du serveur vers mon pc, ou est-ce que la regle sur les connections etablies fera que le SSH pourra sortir ?

D'avance merci.

Mangue

PS : Desole pour les accents, je suis sur clavier US.

melinameline

Bonjour mangue,

je ne maitrise pas bien les iptables, mais je crois que tant que la regle de output n'est pas mensionnée cela veut dire que le ssh est bloqué de ton serveur vers ton pc,
la regle sur les connections etablies s'applique sur les paqués accepté, il me semble.

bonne chance

mangue

Merci a toi pour cette reponse !

Dans le doute j'ai mis en place, et ca a l'air de fonctionner.

NooP

Bonjour.

Effectivement, si tu n'as pas de règle 'OUTPUT', alors tu ne peux établir une nouvelle 'NEW' connexion sortante.
Dans le cas que tu montres, ton PC est autorisé à se connecter à ton SERVEUR, mais pas l'inverse.

Par contre, il faut savoir que netfilter traite les règles dans l'ordre où elles lui sont données. Dans le cas que tu donnes, à chaque paquet ESTABLISHED où RELATED qui passe par netfilter, celui teste d'abord si il correspond à ta règle SSH.

La bonne méthode est :

1) Configurer la politique de filtrage (iptables -P INPUT DROP)
2) Placer ensuite les règles 'lo', puisque ce sont des règles internes au noyau, cela fera gagner du temps en ne scannant pas toutes les règles.
3) Puis placer les règles 'ESTABLISHED,RELATED' en troisième.
4) Et enfin placer les règles pour les connexions 'NEW', donc ta règle autorisant SSH.

melinameline

tu peux voir de ce côté
tu trouvra un petit exemple assais interessant à la premiere reponce.

bonne chance

mangue

Bon j'ai vérifier, je n'avais pas activer le OUTPUT et le FORWARD en drop, et manifestement, j'ai bien fait.
Je vais donc configurer mes régles OUTPUT en même temps

Merci pour vos réponses !

mangue

Ok donc j'ai plante mon serveur a cause d'un iptables -F en ssh 🙁

Ensuite j'ai reconfigure mes regles iptables de facon a pouvoir passer mon OUTPUT en Drop, j'ai donc ajoute

iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT

et j'ai ensuite passe le FORWARD en DROP. Tout fonctionne je n'ai pas de soucis.
Par contre une question me taraude l'esprit, si j'avais fait :

iptables -A OUTPUT -p tcp --[b]dport[/b] ssh -j ACCEPT

Quelle difference cela aurait fait d'apres vous ?

NooP

Attention !

Le 'SOURCE PORT' est rarement à utiliser. La majorité des applications réseau créent un port source aléatoire > 1024. Les règles de filtrage s'appliquent TOUJOURS* sur le 'DESTINATION PORT'.

* Excepté quelques très rares cas ou tu auras besoin de travailler avec le port source

mangue

Merci Noop, et a tous pour vos reponses !