Filtrage iptables (netfilter) qui ne fonctionne pas (???)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Filtrage iptables (netfilter) qui ne fonctionne pas (???)

paulo75

Bonjour à tous,

Je sèche complètement sur le problème suivant...

Sur mon serveur privé, je voudrais interdire des IP (de spammeurs) par des règles Iptables.

Mais en testant déjà avec l'IP aa.bbb.ccc.dd, je constate que rien ne marche, alors que la règle se retrouve bien dans les iptables après visualisation de celles-ci !!!

J'ai tout essayé, enfin je crois :
iptables -A INPUT -i eth1 -s aa.bbb.ccc.dd -j DROP
ainsi que :
iptables -A INPUT -s aa.bbb.0.0/16 -j DROP ou : iptables -A INPUT -i eth1 -s aa.bbb.0.0/16 -j DROP
(pour interdire carrément toutes les IPs de la plage aa.bbb.0.0 à aa.bbb.255.255)
Rien à faire : l'IP aa.bbb.ccc.dd arrive toujours à accéder à mon site, nous envoyer des mails, faire du FTP... !

Est-ce que ces règles sont mal écrites ? Je suppose qu'une fois rentrées (en SSH), l'application est immédiate ?
Dans le cas contraire, qu'est ce qui peut clocher ?

MERCI DE VOTRE AIDE !

Publicité

paulo75

Voici mon iptables-save, aussitot après un redémarrage du serveur (donc effacement des anciennes iptables et nouvelles iptables créées par défaut) et l'ajout de la règle perso : -A INPUT -s aa.bbb.ccc.dd -j DROP
(juste avant : -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT)

Est-ce que cette règle se met (automatiquement...) à la bonne place ?
Faut-il appliquer autre chose ?

MERCI POUR VOTRE AIDE.

Code :

# Generated by iptables-save v1.3.8 on Wed Jan 6 19:06:39 2010
*mangle
:PREROUTING ACCEPT [222022:174104224]
:INPUT ACCEPT [222022:174104224]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [237945:251465799]
:POSTROUTING ACCEPT [237288:251439262]
COMMIT
# Completed on Wed Jan 6 19:06:39 2010
# Generated by iptables-save v1.3.8 on Wed Jan 6 19:06:39 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49152:65534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 106 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9008 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j DROP
-A INPUT -j ACCEPT
-A INPUT -s aa.bbb.ccc.dd -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Wed Jan 6 19:06:39 2010
# Generated by iptables-save v1.3.8 on Wed Jan 6 19:06:39 2010
*nat
:PREROUTING ACCEPT [3319:180747]
:POSTROUTING ACCEPT [2418:153344]
:OUTPUT ACCEPT [2369:151384]
COMMIT
# Completed on Wed Jan 6 19:06:39 2010

o'gure

Modérateur
Multi grognon de B_L

si tu rajoutes une règle, celle ci sera ajoutée à la fin de la liste de la chaîne en question.
lorsqu'un paquet arrive, les règles sont appliquées à ce paquet séquentiellement et s'arrêtent dès qu'une match puis applique la politique définie (accept/drop)

=> si tu rajoutes à la fin (par défaut les règles sont ajoutées à la fin), et qu'avant tu aies une règle qui matche ton trafic, ta règle nouvellement ajoutée ne sert à rien.

En l'occurence, juste avant ta règle en rouge tu as
-A INPUT -j ACCEPT
=> tu acceptes tous en input...
=> la règle qui suit, pour l'input, ne sera jamais appliquée...

revois le man et recherche l'option qui permet d'insérer (tips, insérer commence par un I) une règle où tu veux.

Au passage, ton firewall est un vrai gruyère... ta polique est à drop en input, mais tu acceptes tout

Message édité par o'gure le 06-01-2010 à 20:39:01

---------------
Relax. Take a deep breath !

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Filtrage iptables (netfilter) qui ne fonctionne pas (???)

Sujets relatifs
Aide sur Filtrage de fichier !	Configurer IPTables avec Webmin (screenshot)
IPTables et envoi de mails par PHP	Accès root ne fonctionne plus (tuto alsa)
Demande d'avis sur mon premier script Iptables	[Résolu][IPTABLES] problème avec NAT
problème avec régles iptables	[Résolu] Netfilter / Iptables : Redirection de port
Plus de sujets relatifs à : Filtrage iptables (netfilter) qui ne fonctionne pas (???)

Page générée en 0.055 secondes