Bonjour,
 
Voici mon 1er scripr Iptable, je voudrais sur un Serveur WEB@home  accepter HTTP pour tout le monde et n'accepter SSH que pour mon adresse IP du boulot et mon adresse IP de ma workstation située sur le réseau local du serveur.
 
j'ai rajouter aussi quelque règle antiflodd et antispoofing et le LOG des paquets rejetés.
 
Merci de me dire si ce script convient à mes attentes ou si j'ai écrit des bêtises et/ou si j'ai oublier quelque choses.
 
Salutations
 

Pour ma part j'en pense ceci :
0. ça fait ce que tu veux.
1. Utilise au moins -m state --state NEW lorsque tu autorises unport.
2. Ta chaîne SPOOF est inutilisée  et pour info tu droppes tout le trafic provenant de ton LAN, heureusement que tu acceptes HTTP et SSH avant
3. tu vas vite enlever ta règles pour logguer tout le trafic droppé, useless et c'est un truc à se remplir /var

De plus ta chaine LOG_DROP ne log pas les paquets droppés plus haut dans le script.
 
Une chaine logdrop c'est comme-ça : http://olivieraj.free.fr/fr/linux/ [...] 03-10.html (très bon site au passage)

 
0) fail

Merci pour ton aide    
 
0.C'est déjà ca    
 
1.Si j'ai bien compris je remplace par exemple:
$iptables -A INPUT -p tcp --dport 80 -j ACCEPT  
par
$iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
Peux tu me dire pourquoi ? je voudrai comprendre
 
2.Pourquoi la chaine SPOOF est inutilisé ?
 
3.Tu as raison, merci

Merci pour le lien    

Heu comme ça c'est mieux ?    

/sbin/iptables

 
non
 

 
non plus
 
l'erreur se situe à l'assignation de la valeur (wich est ton pote, j'ai pas vérifié) à la variable iptables.
C'est pas du php ni du perl.
 
en shell:
 
déclaration:
var=valeur
 
utilisation:
$var

Cela dit, initialiser une variable correctement avec une valeur incorrecte ne mène pas beaucoup plus loin.
 
Le path de l'exécutable est /sbin/iptables

 
certes, tu dis vrai
 
s/non plus/ouai aussi /

Bon j'ai du mal a suivre mais si j'ai bien compris:
which iptables me renvoi /sbin/iptables
Donc:

Heu j'ai bon la ?    

Nan iptables=/sbin/iptables
 
Ou comme l'a écrit Homer_Simpson
iptables=$(which iptables)
 
le $() aura pour effet d'exécuter which iptables a chaque exécution du script et de placer le résultat dans la variable $iptables

Arfffffff j'ai enfin compris merci à tous      
 
Me reste plus que la confirmation de remplacer:

C'est ça.

A moins que:

Soit mieux ?????????????

Tu accepte déjà les connexions établies  

Tu peux toujours mettre --state NEW,ESTABLISHED -j ACCEPT mais l'état ESTABLISHED ne sera jamais évalué.

Un immense merci a toi    High Plains Drifter    je vais me coucher moins bête ce soir, j'aime les explications

Voici le script réécrit avec votre aide    
 
o'gure pourquoi tu dis que  la chaîne SPOOF est inutilisée ?
elle est appliquée sur plein de script sur Internet
 
N'hésiter pas a faire des commentaires je suis la pour apprendre, merci
 

Salut,
Regarde les scripts sur internet et documente toi sur l'utilisation de chaînes iptables/netfilter personnalisées.

Voici un schéma qui décrit comment un paquet navigue dans les différentes chaines par défaut. Le cablage entre les différentes chaines est créé par défaut :

très bonne doc pour comprendre comment netfilter/iptables fonctionne : http://irp.nain-t.net/doku.php/130 [...] chitecture

Si tu rajoutes une nouvelle chaines il faut dire à netfilter à certains moment, tel paquet, tu le fais passer dans telle chaine. Si tu ne dis nul part qu'un paquet doit passer par cette chaine, cette chaine est inutile.

un simple iptables -A INPUT -j SPOOFED  à un moment donné suffit pour faire passer les paquets arrivant sur une de tes interfaces dans cette chaine et donc subir le traitement approprié. Si aucune règle ne matche le paquet, le paquet revient dans la chaine "appelante" pour continuer son petit voyage à travers netfilter.

Par contre, comprends bien que netfilter applique les règles séquentiellement, suivant le schéma au dessus, règle après règle. Si tu mets la règle pour passer les paquets dès le début de ton script, tu va avoir des surprises car dans SPOOFED tu droppes du trafic que tu veux autoriser.

Récupérer des morceaux de scripts "sur internet" pourquoi pas, mais il faut bien comprendre ce qu'ils font et ne pas les appliquer "sans réfléchir" (désolé pour expression, mais je pense que tu vois le sens).

Merci je vais travailler la dessus