[iptable] j'en ai besoin rapidement svp [Résolu/Fermé]

Signaler
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
-
 Eley -
Bonjour
Est-ce que quelqu'un pourrai me faire un script iptable en m'acceptant que le port 80,22 après les autres ports je peux les rajouter moi même en prenant sur ces deux conditions.
Mais je voudrai des explications je tape quoi sous ssh pour faire telle chose et telle chose.
Je suis près à vous l'acheter contre des codes allopass.
Merci d'avance

54 réponses

Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Salut,
#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd = debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER
#
# chaque commande est sur une seule ligne
#
# remplace eth0 avec ton interface
# et xxx.xxx.xxx.xxx avec IP de ton interface
iptables -A INPUT -i eth0 -d xxx.xxx.xxx.xxx -m state --state ESTABLISHED,RELATED -j ACCEPT

# accepter l'accès pour IP yyy.yyy.yyy.yyy aux ports 22 et 80
iptables -A INPUT -i eth0 -p tcp -s yyy.yyy.yyy.yyy -d xxx.xxx.xxx.xxx --dport 22:80 -j ACCEPT

#
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
lami20j

P.S. Pour comprendre lit linux installation d un firewall
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
Salut et merci
Peux-tu me dire qu'est-ce que tu appelle l'interface?
puis les 000/00 qu'on voit ça sers à quoi? les iiiiiiii ? et je dois placer ce code ou ? quelle commande pour démarrer/arrêter le firewall?
merci
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Re,

Peux-tu me dire qu'est-ce que tu appelle l'interface?

Interface réseau : eth0, eth1, wan0, etc...


puis les 000/00 qu'on voit ça sers à quoi? les iiiiiiii ?

Une adresse IP a une masque réseau.

On peut l'écrire IP/NetMask
Ex : 192.168.0.1/255.255.255.0
ou en utilisant la notation IP/longueur préfixe

longueur préfixe = le nombre de bits de la partie réseau de l'IP
Ex: 192.168.0.1/24
La partie réseau est 192.168.0 qui fait 3 * 8 bits = 24

0.0.0.0/0 designe la route par défaut

et je dois placer ce code ou ? quelle commande pour démarrer?

ubuntu reseau#30

arrêter le firewall?
#! /bin/sh
#
# Description:  firewall netfilter/iptables est maintenant ouvert
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT


lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
Mon interface je ne la connais pas c'est un dédié que j'ai chez dedibox je n'ai qu'une ip publique...
quand je demande ou placer le script c'est dans quel chemin /etc/...?
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Alors tu n'as pas lu le lien que je t'ai donné

Une fois le fichier créer voilà les manipulations à suivre en tant que root
chmod -v 0755 /home/fabrice/fw_start.sh
echo "/home/fabrice/fw_start.sh" >> /etc/init.d/rc.local
chmod -v 0744 /etc/init.d/rc.local
update-rc.d rc.local start 99 2 3 4 5 .
/etc/init.d/rc.local
Au prochain rédemarrage tu n'auras rien à taper, le firewall sera configurer.

lami20j

P.S c'est un firewall minimal dans le sens que tu peux aller où tu veux et personne ne peut entrer chez toi.
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
si j'ai lu la page, mais moi je n'ai pas de répertoires /home mais /var un /boot un / et un soip pour le systhème et je n'ai qu'une ip public pas de 192
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Affiche le résultat de la commande
ls -l /
Merci.

lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
Y a trop de ligne ! c'est en ssh mais j'ai des root root etc tu veux savoir quoi exactement
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Re,

tu veux savoir quoi exactement

Ce que je veux savoir peu importe ;)

Si je comprends bien tu te connect sur un server ssh. C'est bien ça?

lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
exactement en ssh
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Et si j'ai continue mon raisonnement tu veux configurer le firewall du serveur?

lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
Oui exact
je voudrai accepter que le 80, 22, 21, 53 les serveurs pop et smtp et je crois que c'est tout pour ne laisser que le principal pour les sites webs
merci
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
ok

tape sur le pc client (donc chez toi)
ssh ton_compte_sur_serveur@ip_serveur ls -l / > racine_serveur
ensuite affiche ici le contenu du fichier racine_serveur

lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
J'utilise putty pour me connecter à mon serveur, je ne peux pas faire copier coller puis les atachement sont pas en option sur les messages...
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Re,

si j'ai bien compri dedibox est basée sur Ubuntu

Il ne faut pas prendre tout à la lettre. Quand j'ai dit /home/... il faut penser plutôt à un répertoire et pas strictement à /home/

Pareil pour le nom de script.

Donc le principe n'est pas compliqué.

Tu te connectes sur ton compte avec ssh.

TU edites sur place les fichiers (s'il faut le faire à la main, alors il faut le faire - d'ailleurs c'est ça que j'ai fait )

Normalement tu dois avoir le répertoire /etc/init.d sur le serveur

Donc tu crées 2 fichiers /etc/init.d/iptables_start et /etc/init.d/iptables_stop

Ensuite tu applique la procédure que je t'ai décrit plus haut avec chmod, update-rc.d...

Et s'il n'y a pas la commande update-rc.d alors tu peux créer les liens à la main.

lami20j

P.S. Peut être je dit des bêtises, mais ce que je dit c'est déjà testé sur debian et ubuntu
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
J'ai bien /etc/init.d pour démarrer/arrêter des services.
Donc je place quoi dans /etc/init.d/iptable_start et dans /etc/init.d/iptable_stop?
merci
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Oui.

Ensuite tu fait

Pour start

chmod -v 0744 /etc/init.d/iptables_start
update-rc.d iptables_start start 99 2 3 4 5 .
Pour stop

chmod -v 0744 /etc/init.d/iptables_stop
update-rc.d iptables_stop start 99 2 3 4 5 .
lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
Donc je créé les deux fichiers
je tape les deux lignes par fichier que tu viens de me donner après je place quoi dans quoi.
Merci de ton aide rapide...
Messages postés
21511
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 448
Tu peux bien sûr le démarrer tout simplement avec la commande

/etc/init.d/iptables_start

et l'arrêté avec

/etc/init.d/iptables_stop

Bien sûr une façon elegante sera de créer un script /etc/init.d/iptables

avec la forme

#! /bin/sh

case $1 in

'start')
           /chemin/vers/iptables_start
          ;;
'stop')
          /chemin/vers/iptables_stop
          ;;
'*')
          echo "Usage : /etc/init.d/iptables {start|stop}
          ;;
esac
Et puis
chmod -v 0744 /etc/init.d/iptables
update-rc.d iptables start 99 2 3 4 5 .

lami20j
Messages postés
790
Date d'inscription
dimanche 31 juillet 2005
Statut
Membre
Dernière intervention
12 juillet 2007
58
oui donc je créé un autre fichier iptable avec le code que tu m'a donné, met je met quoi dans iptables_star et iptables_stop
merci
1 2 3