Reprise du message précédent :
Merci, maintenant, le serveur sort sur le net.
Par contre suite à un nmap d'un pote, et à un test, impossible de se logguer en ssh alors qu'il est autorisé explicitement, idem pour vnc, et nmap dis que mon serveur est eteint.
 

tu veux pas faire un iptables -L -v -n et copier coller dans des balises fixed,
C'est plus lisible... (pour moi)

Juste comme ca, tes potes, ils ont bien rajouté l'option -P0 pour le scan ?

Si si je peux
 

Oui ca à été bien été scanné avec nmap -P0

hop, pour moi c'est bon, je me suis enervé, j'ai recommencé un autre script, et il marche
 
Par contre comment faire pour restreindre au maximum le OUTPUT de la passerelle sauf le minimum (port 80, 22 et surtout apt?)

tu restreint le port 80 vers les mirroirs debian que tu utilises
tu restreint le 22 depuis les adresses que tu es sensé te connecté
plus udp port 53 vers les serveurs DNS qu'il peut utiliser.
 
apt se sert de HTTP (il pourrait faire du FTP également, mais le HTTP suffit)

Pour le SSH
eth1 (interface reseau)
 
iptables -A INPUT -i eth1 -p tcp -dport 22 -j ACCEPT
iptables -A OUTPUT -o eht1 -p tcp -sport 22 -j ACCEPT
 
Essaye avec ca, si ca ne marche pas alors ca vient des regles plus haut (SYN, RST, ...)
 
Je conseille fortement de sécuriser le SSH :
 
 - en changeant de port
 - avec une connexion SSH avec clé d'authentification
 
Par contre, moi je voulai changé le port du FTP, mais j'ai le message d'erreur 550 ILLEGAL PORT
 
J'ai lu qu'il fallait charger les modules modprobe en spécifiant des options.
 
modprobe ip_conntrack_ftp ports=21,5701  
modprobe ip_nat_ftp ports=21,5701  
 
j'ai bien sure changé les regles firewall et mon fichier proftpd.conf
 
Mais ca ne marche toujours pas ... une idée?

Euh.. pour ssh, je prefere ma regle qui restreint à 2 adresses sur le net, et 1 sur le rezo loacl.
 
Pour le ftp, aucune idée, j'ai pas encore fini de l'installer.
Mais j'ai lu aussi une histoire de port passif (par defaut du 1024 au 65535) qu'il fallait autoriser, ou modifier ta conf pour specifier quels ports tu utilise.
Info à verifier, c'est du lu sur le net et pas testé ...

MA regle n'est pas parfaite pour le SSH ... mais c'est pour tester déjà voir si ça marche...(c'est un exemple)
iptables -A INPUT -p tcp -dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -sport 22 -m state --state ESTABLIDHED, RELATED -j ACCEPT
 
 je prefere ma regle qui restreint à 2 adresses sur le net>> c'est ton choix car toi tu veux acceder à ton SSH depuis seulement 2 pc... moi je veux y accéder de n'importe ou ^^ ainsi que dans mon réseau local ^^
 
Pour le FTP,  
 
quand tu modifies dans le proftpd.conf le port, tu modifie le port d'écoute le 21 ce qui fait que tu arrives à teconnecter mais tu ne peux pas lister le repertoire... (port 20) malgrè les règles parefeus.
 
C'est pour ca qu'il faut utiliser :
 
modprobe ip_conntrack_ftp ports=21,5701  
modprobe ip_nat_ftp ports=21,5701  
 
dans mes regles iptables  
 
j'autorise mon port 5701 >> en ecoute mais qu'est ce que je met pour les données ?
 
 
 
 
Mais je dois faire une erreur quelque part ! car ca ne marche toujours pas....

Personnellement lorsque je loades mes moduls ip_conntrack_ftp et ip_nat_ftp je ne précise pas les ports. Et ca marche correctement en n'autorisant que le port TCP 21 en entrée...

l0ky >> tu n'as pas compris ce que je veux faire...
 
Je veux changer de port d'écoute. Je veux mettre mon port FTP 21 > 5701 par exemple. Si tu essaye, tu va réussire à te connecter mais pas à lister.
 
ou alors dit moi comment tu as fait...
 
ou alors il parait qu'il faut tout recompiler avec des options... (arf un peu la galère cmme méthode je préfère donner les options ^^

jamais essayé.

Pourrais tu essayé (lool) et me donner ta solution (haha !)
ca m'enerve alors pour l'instant je laisse tombé ^^ bon je suis assez securisé pour l'instant.
 
J'aimerai 2 choses en ce moment,  
 
-Changer de port FTP
-Passer le FTP dans un SSH

 
Salut tout le monde,
Le paramètrage de la partie ICMP est-il bon ?

Hello !
J'utilise une partie du script en première page, et j'arrive à un résultat satisfaisant, merci, du moins avec les ports de service standards.
 
En effet, ma passerelle est accessible de l'exterieur par le port 22 en ssh, mais j'aimerais modifier ca, sans modifier les paramètre de ssh.  
 
Je m'explique :
- le service écoute toujours sur le port 22
- les ordinateurs du rézo interne peuvent se connecter dessus en 22
- les ordinnateurs externe doivent se connecter en 222
 
J'ai donc essayé un truc du style :

où :
$INTERNET1 : ppp0
$FIREWALL : ip de mon firewall
$SSH : ip de mon serveur ssh, ici, mon firewall
 
Autre question :
Comment visualiser ma table nat (PREROUTING et POSTROUTING)??
Ca parrait con, comme ca, mais bon, je débute ...
 
 
Merci beaucoup,
 
 
A+

1) Il suffit jsute de cette ligne (pas besoin d'ouvrir le port)  
 
$IPT -t nat -A PREROUTING -p tcp -d $FIREWALL --dport 222 -j DNAT --to-destination $SSH:22
 
Essaye ca.
 
2) iptables -t nat -L -v -n << essaye ca
 
Je répond rapidement mais je confirme pas

mais pourquoi ne change tu pas de port carrement ?

 
Excellent, je test tout de suite
 

Je m'y attendais à cette question
 
Simplement parce que, pour m'y retrouver avec toutes les machines sous ma responsabilité, j'ai adopté des standards... Donc, par exemple, telnet (pour les stations windows) et ssh (pour les linux) utilisent le même port (depuis l'externieur).

Mais en fait as tu réllement besoins que toutes tes machines Linux ont besoin d'une connexion SSH ? par exmple
 
Tiens nous au courant si ca marche ce que je viens de te dire... (faut pensez pour les autres )
 

tu es sûr ?

Quasiment puisque c'est la table nat  
 

site à lire : http://olivieraj.free.fr/fr/linux/ [...] 03-04.html
 
donc on voit bien avec le schema que tout ce qui passe par le prerouting pas besoi de le faire passer par input, tu l'envoie directe au destinataire...
 
Enfin, bon comme d'hab, j'affirme rien ... je suis pas encore un pro de iptables
 
EDIT: Il faut ouvrir les ports 22 si tu as sur tes machines un firewall... sinon si tu as juste qu'un firewall en amont il suffit juste de faire une redirection

Alors, pour info, ça ne passe toujours pas ... je suis en train de chercher si j'ai pas un autre truc qui me bloque... Mais là je vais bouffer. A demain.
 
Et merci

Ce schéma vient du site de netfilter
 

 
Tu traverse d'abord la chaine PREROUTING de la table NAT
Ensuite tu traverseras quand meme les chaines FORWARD ou INPUT de la table filter.
 
Donc pour moi il faut ouvrir. D'ailleurs chez moi c'est ce que j'ai fait car ca ne marchait pas sans spécifiant haut et fort qu'il fallait les laisser passer.

http://www.netfilter.org/documenta [...] WTO-9.html

Murphyist>> peut etre, je ne suis pas assez callé pour affirmer ce que je dit...  
 

Mais j'ouvre le port 222 dans input, et pas le 22, c'est juste ?

J'aurai le meme raisonnement que toi (si je me suis trompé dans mon raisonnement plus haut

Bah pour moi c'est le port 22 qu'il faut ouvrir
Toujours d'apres le schema, si tu NATes en PREROUTING, lorsque ton paquet arrivera sur la chaine INPUT de la table filter, le port destination sera 22 (étant donné que la translation c'est faite avant)...

Ah oui tu as peut etre raison ^^
De toute facon, essaye l'un ou l'autre si ca ne marche pas alors c'est que ca vient d'ailleurs

Ouai mais en y réfléchissant un peu plus, ta machine sera accessible par 2 port en SSH... en 22 et en 222...

En meme temps il y a une solution un peu plus simple:
dans la conf de sshd tu lui précise d'écouter sur 2 ports (22 et 222)
dans iptables, tu filtres ensuite sur l'interface d'entrée:
 - si interface LAN => on accepte que le port 22
 - si interface publique => on accepte que le port 222

ah bon ca marche ca?  
mettre  
port=22,222
ou  
port=22
port=222  

J'utilise:

Alors oui c'est une solution qui marche  
Peut etre elle n'est pas la meilleur mais la logique est simple ^^

Pour faire du PAT il faut à la fois mettre une entrée dans la table PREROUTING du nat et aussi mettre 2 règles correspondant aux sens dans la table FORWARD de filter

 
 
C'est pas une mauvaise idée, mais en même temps, dans mon cas, c'est pas vraiment possible, puisque je ne veux pas seulement atteindre ssh, mais aussi  ftp, mysql, http....
 
Désolé.
 
 

PAT? tu voulais dire NAT?
 
 
Ben tout dépend...  
 
1) si la SSH traverse un serveur ou il y a un firewall, alors je pense le forward c'est bon
2) si le SSH est sur le meme serveur que le firwall alors non
 
FORWARD permet de filtre les paquets qui passent d'une interface réseau à l'autre...

NAT => Network adress translation
PAT => Port and Address translation

-----------
En fait chez moi, j'autorise tout de LAN vers WEB (je sais c'est moins secure mais je vais installer des firewall applicatif ^^ , j'ai pas envie de filter ce qui sort avec iptables... ^^ trop la flemme)
 
Du coup j'ai pas tout c'est probleme...
 
Dans ton cas,
 
LAN VERS SERVEUR SSH : Tout ce qui rentre (INPUT) sur l'interface (-i eth1 si c'est la carte reseau LAN) dont le protocole est tcp(-p tcp) sur le port 22 (--dport 22) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu l'acceptes (-j ACCEPT)
 
WEB VERS SERVEUR SSH : Tout ce qui rentre (INPUT) sur l'interface (-i eth0 si c'est la carte reseau WAN) dont le protocole est tcp(-p tcp) sur le port 22 (--dport 22) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu l'acceptes (-j ACCEPT)
 
WEB VERS SERVEUR SSH PAT alors: Tout ce qui rentre dans la table nat (-t nat) sur la pate (-A PREROUTING)sur l'interface (-i eth0 si c'est la carte reseau WAN) dont le protocole est tcp(-p tcp) sur le port 222 (--dport 222) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu le translates vers le port 22 (-j DNAT --to-destination 192.168.0.1:22
 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -m state --state !INVALID -j DNAT --to-destination 192.168.0.1:222  
 
Essaye avec ça ,ouvrir le port 222 avec un  
 
iptables -A INPUT -i eth0 -p tcp --dport 222 -m state --state !INVALID -j ACCEPT
 
---
Perso, je prefere utilisé -i eth1 au lieu de -d $ADRESSE IP