script iptables

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : script iptables

chaica

Bonjour,

J'accepterai volontiers de l'aide sur un script iptables. J'ai lu les howto mais quelque chose doit m'échapper car je me fais bloquer. Ma machine est un serveur sur le net qui recoit tout le trafic par la carte eth0. Pas de forwarding.

Code :

#!/bin/sh -e
#Load needed modules
modprobe ip_tables
modprobe ip_conntrack_ftp
iptables -F
iptables -X
iptables -Z
#Drop everything on the 3 strings
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#We accept everything on lo interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#We accept FTP
iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -m state --stateESTABLISHED,RELATED -j ACCEPT
#FTP Data
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#We accept SSH
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
#We accept NTP
iptables -A INPUT -i eth0 -p tcp --sport 123 -j ACCEPT
iptables -A INPUT -o eth0 -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 123 -j ACCEPT
iptables -A INPUT -o eth0 -p udp --dport 123 -j ACCEPT
#We accept DNS
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

---------------
Du taf dans le Logiciel Libre : https://www.linuxjobs.fr

Publicité

l0ky

tu te fais bloquer c'est à dire ?

Sinon tu as bien loader les modules conntrack/ftp... toussa

Taz

bisounours-codeur

t'as inversé OUTPUT et INPUT (et sport / dport)

Moi je te conseille de faire simple.

tu bloques par défaut, sauf en sortie, où là tu laisses tout partir :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

tu relaxes pour lo et tu laisses passer icmp :

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

et tu laisses passer les flux entrants précédemment établis :

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

pour ouvrir certains ports applicatifs :

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

pour indiquer des plages de ports :

iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

voilà. simple et efficace

pour controller le tout, rapidement :

nmap -sS localhost
nmap -sS <ton_ip_eth0>

chaica

Taz: j'avais déjà repris mon script et constaté mes erreurs. J'ai ensuite opté pour la politique que tu décris, c'était le plus simple à gérer.
++

FORUM HardWare.fr

Linux et OS Alternatifs

script iptables

Sujets relatifs
Déconnexion Gaim depuis la mise en place de mon script iptables	Lancer mon script iptables au démarrage de Ubuntu [résolu]
équivalence script iptables/packet filter	[résolu] Script d'initialisation d'iptables bugué
A la recherche d un script iptables	E-smith 6.0 et Arno's IPTABLES Firewall Script a l'Aide!!!!!
[Noob] Script iptables et après ???	script de config iptables et slack
IpTables, mon 1er script, j'ai des questions	[IPTABLES] Structure script firewall <---> LAN sans DMZ
Plus de sujets relatifs à : script iptables

Page générée en 0.035 secondes