Flux rss
Ils ont besoin de votre aide
Rechercher : dans
Par : Mots clés Nom d'utilisateur
Messages sans réponse

Règles iptables pour accès ssh via le net ?

pristella, le lundi 23 octobre 2006 à 23:19:49 
 Signaler ce message aux modérateurs

Bonjour,

j'essais de creer une règle de filtrage pour accéder à distance à mon serveur ssh tout en etant masqué sur le net.

j'ai d'abord testé cette règle : 

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Ca fonctionne mais je ne suis pas masqué sur le net (le port 22 est ouvert)

ensuite j'ai essayé celle-là : 

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT


impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Pour info voilà mon script firewall : 

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i ra0 -d 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ra0 -p tcp -s 192.168.0.0/24 -d 192.168.0.2/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o ra0 -m state --state ! INVALID -j ACCEPT


J'avoue que les règles iptables, c'est du charabias pour moi et les lectures sur les différents sujets sont très très lourdes :(

merci d'avance pour votre aide.

A+

Meilleures réponses pour « règles iptables pour accès ssh via le net ? »
Posez votre question Répondre

1

kilian, le lundi 23 octobre 2006 à 23:47:06
  • +1

Bonjour,

Comment est organisé ton réseau?
ra0 c'est une interface de sans fil....?
Tu es connecté directement à un modem sans être en mode routeur? 

..et le...le...enfin, non parce c'est...ya...quand...bah tu sais là le...

   
Répondre à kilian

6

pristella, le mardi 24 octobre 2006 à 00:10:28
  • +1

Salut killian,

organisation de mon reseau :

1- j'ai 3 ordinateurs:

-1 PC de salon sur lequel se trouve mon serveur ssh (192.168.0.4)
-1 portable (192.168.0.3)
-1 PC de bureau (192.168.0.2)
2-les 3 sont en reseau local (samba)
3-Mes 2 imprimantes sont connecter sur le PC de bureau (192.168.0.2)
4 - la freebox est en mode routeur et le port 22 est redirigé vers le pc de salon (192.168.0.4)

Mon obectif, permettre au PC de ma mère avec IP de "martien " (888.888.888) :D de se connecter à mon serveur ssh.

...

   
Répondre à pristella

7

lami20j, le mardi 24 octobre 2006 à 00:12:47
  • +1
   
Répondre à lami20j

2

lami20j, le lundi 23 octobre 2006 à 23:51:52
  • +1

Salut,

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT



impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Ben, 802.02.530.2 c'est l'IP que tu veux autoriser donc c'est la source des paquets et pas la destination.

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j

   
Répondre à lami20j

8

pristella, le mardi 24 octobre 2006 à 00:13:21
  • +1

Ooooh nooonn !!! que je suis i.....!!!!

   
Répondre à pristella

9

kilian, le mardi 24 octobre 2006 à 00:51:49
  • +1

Du coup ça fonctionne maintenant? :-) 

..et le...le...enfin, non parce c'est...ya...quand...bah tu sais là le...

   
Répondre à kilian

3

kilian, le lundi 23 octobre 2006 à 23:53:56
  • +1

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien 

..et le...le...enfin, non parce c'est...ya...quand...bah tu sais là le...

   
Répondre à kilian

4

lami20j, le lundi 23 octobre 2006 à 23:56:22
  • +1

Salut kilian,

ça va?

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Et moi j'ai fait copier/colier :-D puisque je suis perlien :-DDDD

lami20j

   
Répondre à lami20j

5

kilian, le lundi 23 octobre 2006 à 23:59:04
  • +1

Ca va et toi :-)

Y m'a manqué ce forum pendant que j'avais plus le net..... :'-( 

..et le...le...enfin, non parce c'est...ya...quand...bah tu sais là le...

   
Répondre à kilian

10

pristella, le mardi 24 octobre 2006 à 19:33:38
  • +1

Salut, 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT


ce n'est pas la bonne règle, je ne peux pas acceder à acceder à ssh ... il manque certainement quelquechose

   
Répondre à pristella

11

lami20j, le mardi 24 octobre 2006 à 19:36:43
  • +1

Salut,

affiche le résultat de la commande ifconfig

lami20j

   
Répondre à lami20j

12

lami20j, le mardi 24 octobre 2006 à 19:48:12
  • +1

Je ne pense pas que ra0 c'est l'interface qui sort sur net.

essaie

iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j

   
Répondre à lami20j

13

pristella, le mardi 24 octobre 2006 à 20:14:00
  • +1

Salut lami20j,

si, c'est bien ra0, je suis en wifi. Néanmoins, je vais quand même te faire ifconfig bien que je sois sur du resultat ....

   
Répondre à pristella

14

lami20j, le mardi 24 octobre 2006 à 20:20:06
  • +1

Ok, d'accord.

As-tu essayé

 iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j

   
Répondre à lami20j

15

pristella, le mardi 24 octobre 2006 à 20:20:32
  • +1

Voilà, 

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:5 erreurs:0 :0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          Octets reçus:272 (272.0 b) Octets transmis:272 (272.0 b)

ra0       Lien encap:Ethernet  HWaddr 00:13:D3:70:0C:73
          inet adr:192.168.0.4  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::213:d3ff:fe70:c73/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:596 erreurs:0 :0 overruns:0 frame:0
          TX packets:720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:47 lg file transmission:1000
          Octets reçus:103950 (101.5 KiB) Octets transmis:59639 (58.2 KiB)
          Interruption:217

   
Répondre à pristella

16

lami20j, le mardi 24 octobre 2006 à 20:22:45
  • +1

Essaie la règle du msg 14

lami20j

   
Répondre à lami20j

17

pristella, le mardi 24 octobre 2006 à 21:24:58
  • +1

Bon, ben en fait le problème c'etait pas la règle mais mon "dyndns". Apparemment, il ne se met pas à jour. Désolé pour le dérangement :(

La première règle etait la bonne et maintenant je suis bien invisible sur le port 22 :)

Merci

   
Répondre à pristella

18

lami20j, le mardi 24 octobre 2006 à 21:27:07
  • +1

La première règle

laquelle?

lami20j

   
Répondre à lami20j

19

pristella, le mardi 24 octobre 2006 à 23:07:05
  • +1

Celle-là : 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEP
T

   
Répondre à pristella

20

 lami20j, le mardi 24 octobre 2006 à 23:09:51
  • +1

Donc c'était bien ce que j'ai écrit ici regles iptables pour acces ssh via le net#2

lami20j

P.S. Je vais mettre problème résolu :-)

   
Répondre à lami20j
Posez votre question Répondre