IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Comprendre ces quelques règles iptables


Sujet :

Sécurité

  1. #1
    Membre du Club
    Profil pro
    Développeur Full Stack
    Inscrit en
    Mars 2009
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Full Stack

    Informations forums :
    Inscription : Mars 2009
    Messages : 94
    Points : 69
    Points
    69
    Par défaut Comprendre ces quelques règles iptables
    Bonjour,

    J'utilise iptables comme firewall. Sans être un utilisateur expert, mes règles sont pour la plupart simples (accepter en INPUT, OUTPUT sur certains ports, bloquer tout le reste sauf les connexions déjà établies).

    Récemment j'ai voulu utiliser transmission pour certains partages, et je me suis rendu compte que iptables bloquait celui-ci (dès que je vidais mes règles iptables plus aucun soucis).

    J'ai donc ajouté des règles trouvées, mais j'aimerais comprendre ce qu'elles font et leur impact :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     
    iptables -I INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
    iptables -A OUTPUT -p udp -m udp --sport 51413 --dport 1023:65535  -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp --sport 30000:65535 --dport 1023:65535  -j ACCEPT
    Je comprend la première mais pas les suivantes.

    L'idée est que j'ai aussi sur mon serveur d'autres applications (Tomcat entre autre) qui écoutent dans la plage 30000:65535. Du coup, je souhaite savoir si mes autres applications peuvent être mis en danger par les connexions entrantes pour transmission.

    Merci

  2. #2
    Modérateur
    Avatar de Obsidian
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    Septembre 2007
    Messages
    7 360
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 7 360
    Points : 23 599
    Points
    23 599
    Par défaut
    Bonjour,

    Il faut aussi tenir compte de la « politique » (policy) adoptée par iptables et spécifiée par l'option -P. C'est en fait la cible visée par défaut lorsque ton paquet ne correspond à aucune de tes règles. A priori, chez toi, ce doit être DROP pour toutes les chaînes.

    — La première règle permet d'autoriser tout paquet entrant, en TCP et à destination du port 51413 ;
    — La seconde permet d'autoriser tout paquet sortant et UDP en provenance du port 51413 et à destination de la plage des ports courant de 1023 à 65535. Donc, on interdit de répondre à un client extérieur dont le numéro de port serait inférieur à 1023. A priori, il faut être root (ou l'avoir été) pour utiliser un tel port, qui sont d'ailleurs normalement réservés aux services Internet officiellement déclarés et, en tout cas, aux serveurs ;
    — La troisième permet aux paquets sortants TCP de sortir, mais uniquement s'ils émettent à destination des mêmes ports et s'ils proviennent eux-mêmes d'un port compris entre 30000 et 65535.

    Soit il y a des raisons très précises de procéder ainsi (c'est encore possible), soit c'est une très mauvaise façon de configurer le firewall, probablement calquée sur les interfaces graphiques d'autres systèmes où l'on se contente de choisir quelque ports concernés et de dire « oui » ou « non ».

    Un client ouvert sur ta machine en TCP utilisera automatiquement un port compris entre 1024 et 65535 s'il n'en choisit pas un explicitement, mais ceci est complètement décorellé du filtre. Il y a donc une chance sur deux pour que le trafic sortant de ton client soit filtré. Le tirage dépendant uniquement du numéro de port choisi, ça aura l'air complètement aléatoire.

Discussions similaires

  1. iptable quelques règles
    Par Etann38 dans le forum Sécurité
    Réponses: 1
    Dernier message: 21/05/2012, 00h12
  2. Validation de mes règles Iptables
    Par kippix dans le forum Sécurité
    Réponses: 2
    Dernier message: 08/11/2006, 11h06
  3. Ce que vous pensez de mes règles iptables
    Par HNT dans le forum Sécurité
    Réponses: 17
    Dernier message: 01/09/2006, 11h25
  4. Besoin d'aide pour traduire ces quelques lignes
    Par sircus dans le forum Langage
    Réponses: 3
    Dernier message: 09/08/2006, 16h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo