Les Allergies
Alimentaires
Posez votre question Signaler

Règles iptables pour accès ssh via le net ? [Résolu]

pristella 865Messages postés 23 octobre 2004Date d'inscription - Dernière réponse le 24 oct. 2006 à 23:09
bonjour,
j'essais de creer une règle de filtrage pour accéder à distance à mon serveur ssh tout en etant masqué sur le net.
j'ai d'abord testé cette règle : 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Ca fonctionne mais je ne suis pas masqué sur le net (le port 22 est ouvert)
ensuite j'ai essayé celle-là : 
iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT

impossible de se connecter au serveur.
Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).
Pour info voilà mon script firewall : 
#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i ra0 -d 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ra0 -p tcp -s 192.168.0.0/24 -d 192.168.0.2/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o ra0 -m state --state ! INVALID -j ACCEPT

J'avoue que les règles iptables, c'est du charabias pour moi et les lectures sur les différents sujets sont très très lourdes :(
merci d'avance pour votre aide.
A+
Lire la suite 

Règles iptables pour accès ssh via le net »

20 réponses
Réponse
+0
moins plus
kilian 8802Messages postés 19 septembre 2003Date d'inscription 2 juillet 2011Dernière intervention 23 oct. 2006 à 23:47
Bonjour,

Comment est organisé ton réseau?
ra0 c'est une interface de sans fil....?
Tu es connecté directement à un modem sans être en mode routeur?


Ajouter un commentaire - Site web
pristella- 24 oct. 2006 à 00:10
salut killian,

organisation de mon reseau :

1- j'ai 3 ordinateurs:

-1 PC de salon sur lequel se trouve mon serveur ssh (192.168.0.4)
-1 portable (192.168.0.3)
-1 PC de bureau (192.168.0.2)
2-les 3 sont en reseau local (samba)
3-Mes 2 imprimantes sont connecter sur le PC de bureau (192.168.0.2)
4 - la freebox est en mode routeur et le port 22 est redirigé vers le pc de salon (192.168.0.4)

Mon obectif, permettre au PC de ma mère avec IP de "martien " (888.888.888) :D de se connecter à mon serveur ssh.

...
lami20j- 24 oct. 2006 à 00:12
tu as essayé ça? regles iptables pour acces ssh via le net#2

lami20j
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 23 oct. 2006 à 23:51
Salut,

iptables -A INPUT -i ra0 -p tcp -d 802.02.530.2 --dport 22 -j ACCEPT



impossible de se connecter au serveur.

Vous l'aurez compris, je cherche à n'autoriser l'accès que pour cette IP (802.02.530.2) qui est fausse evidemment :).

Ben, 802.02.530.2 c'est l'IP que tu veux autoriser donc c'est la source des paquets et pas la destination.
iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j

 Ajouter un commentaire - Site web
pristella- 24 oct. 2006 à 00:13
ooooh nooonn !!! que je suis i.....!!!!
kilian- 24 oct. 2006 à 00:51
Du coup ça fonctionne maintenant? :-)
Ajouter un commentaire
Réponse
+0
moins plus
kilian 8802Messages postés 19 septembre 2003Date d'inscription 2 juillet 2011Dernière intervention 23 oct. 2006 à 23:53
Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Ajouter un commentaire - Site web
lami20j- 23 oct. 2006 à 23:56
Salut kilian,

ça va?

Et tu as dû te gourrer, 802.02.530.2 c'est une ip de martien

Et moi j'ai fait copier/colier :-D puisque je suis perlien :-DDDD

lami20j
kilian- 23 oct. 2006 à 23:59
Ca va et toi :-)

Y m'a manqué ce forum pendant que j'avais plus le net..... :'-(
Ajouter un commentaire
Réponse
+0
moins plus
pristella 865Messages postés 23 octobre 2004Date d'inscription 24 oct. 2006 à 19:33
salut, 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT


ce n'est pas la bonne règle, je ne peux pas acceder à acceder à ssh ... il manque certainement quelquechose

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 24 oct. 2006 à 19:36
Salut,

affiche le résultat de la commande ifconfig

lami20j

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 24 oct. 2006 à 19:48
Je ne pense pas que ra0 c'est l'interface qui sort sur net.

essaie
iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j

 Ajouter un commentaire - Site web
pristella- 24 oct. 2006 à 20:14
salut lami20j,

si, c'est bien ra0, je suis en wifi. Néanmoins, je vais quand même te faire ifconfig bien que je sois sur du resultat ....
lami20j- 24 oct. 2006 à 20:20
Ok, d'accord.

As-tu essayé
 iptables -A INPUT -p tcp -s 802.02.530.2 --dport 22 -j ACCEPT
lami20j
pristella- 24 oct. 2006 à 20:20
voilà, 

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:5 erreurs:0 :0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          Octets reçus:272 (272.0 b) Octets transmis:272 (272.0 b)

ra0       Lien encap:Ethernet  HWaddr 00:13:D3:70:0C:73
          inet adr:192.168.0.4  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::213:d3ff:fe70:c73/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:596 erreurs:0 :0 overruns:0 frame:0
          TX packets:720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:47 lg file transmission:1000
          Octets reçus:103950 (101.5 KiB) Octets transmis:59639 (58.2 KiB)
          Interruption:217
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 24 oct. 2006 à 20:22
essaie la règle du msg 14

lami20j

 Ajouter un commentaire - Site web
pristella- 24 oct. 2006 à 21:24
Bon, ben en fait le problème c'etait pas la règle mais mon "dyndns". Apparemment, il ne se met pas à jour. Désolé pour le dérangement :(

La première règle etait la bonne et maintenant je suis bien invisible sur le port 22 :)

Merci
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 24 oct. 2006 à 21:27
La première règle

laquelle?

lami20j

 Ajouter un commentaire - Site web
pristella- 24 oct. 2006 à 23:07
celle-là : 

iptables -A INPUT -i ra0 -p tcp -s 802.02.530.2 --dport 22 -j ACCEP
T
Ajouter un commentaire
Réponse
+0
moins plus
lami20j 20327Messages postés 4 novembre 2004Date d'inscription 20 mai 2012Dernière intervention 24 oct. 2006 à 23:09
Donc c'était bien ce que j'ai écrit ici regles iptables pour acces ssh via le net#2

lami20j

P.S. Je vais mettre problème résolu :-)

 Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « règles iptables pour accès ssh via le net ? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?