Bloquer tous les ports sauf 80,21,22,844

biglittlekiss · 07/12/2006, 21h39

Bonjour,

Je suis avec IP table depuis toute la journée, et je n'arrive à rien.
Plusieurs format d'affilé car a force je bloque tout.

Ce que je veux faire, c'est:
- Bloquer tous les ports de mon PC
- sauf le port 80, 21,22 et 844
- rendre impossible le ping par un autre PC, tout en laissant mon serveur pouvoir
faire un ping sur d'autres PC

Sauf que je dois mal m'y prendre car ou tout passe, ou alors je n'ai que le ping qui passe...

Bref, prise de tête.

Qui peut m'aider?

Merci d'avance

gorgonite · 08/12/2006, 08h17

ce que tu veux laisser dispo, c'est bien en sortie ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
#! /bin/sh
 
IPTABLES="iptables"
#### Initialisation
 
# purger iptables
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Politique par defaut : les paquets sont refuses
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
 
# On accepte les paquets reconnus par le moteur d'etat
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
#### Autoriser les connexions sortantes sur un port particulier
 
# exemple: on autorise les connexion ssh sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 22 -j ACCEPT
 
# exemple: on autorise les connexion http sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 80 -j ACCEPT
 
# exemple: on autorise les connexion ftp sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 21 -j ACCEPT
 
# exemple: on autorise les connexion tcp/844 sortantes
$IPTABLES -A OUTPUT -m state --state ! INVALID -p tcp --sport 1024: --dport 844 -j ACCEPT
 
##### on autorise les ping sortants
$IPTABLES -A OUTPUT -m state --state ! INVALID -p icmp -j ACCEPT
 
 
#### Désactiver le routage
echo 0 > /proc/sys/net/ipv4/ip_forward

_solo · 08/12/2006, 11h17

il est bien gentil gorgonite de te faire ton iptables , moi j'aurais deja demander de poster ce que tu as fait pour prouver que tu as reellement essayer de faire quelques choses ; sachant que les tutoriels sur iptables pullulent sur le web .

Citation:

Résultats 1 - 10 sur un total d'environ 1 090 000 pour tutoriels iptable. (0,16 secondes)

gorgonite · 08/12/2006, 13h14

Citation:

Envoyé par _solo

il est bien gentil gorgonite de te faire ton iptables

j'ai juste fait un copier-coller de ce lien

http://gorgonite.developpez.com/tuto...isations#LII-5

Citation:

Envoyé par _solo

moi j'aurais deja demander de poster ce que tu as fait pour prouver que tu as reellement essayer de faire quelques choses ; sachant que les tutoriels sur iptables pullulent sur le web .

mais toi, tu es mechant...

troumad · 11/12/2006, 13h19

_solo : ce n'est pas le nombre de réponses qu'il faut voir, mais la pertinance des réponses...
Tu connais Trop d'information tue l'information ? On serait dans ce cas !

Gorgonite ayant répondu, je ne donnerais pas la solution, mais elle se trouve aussi dans http://troumad.info/Linux/linux.odt un document à moi

biglittlekiss · 11/12/2006, 21h42

Alors j'en suis arrivé à ça, sauf que ça coince encore.

J'ai l'impression que ça ne marche pas car je peux toujours faire un ping...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
 
#!/bin/bash
 
 
###################################
#####Déclaration des variables#####
###################################
 
#Adresse du réseau interne
OURNET="172.16.0.0/16"
#Adresse broadcast du réseau interne
OURBCAST="172.16.255.255"
#Espace d'adresse du réseau externe
ANYADDR="0/0"
#Nom de l'interface vers le réseau externe
EXTDEV="eth0"
 
#Liste des ports TCP autorisés (vide équivaut à tout autoriser)
#Note: voir pour smtp, ftp, ftp-data
#En entrée
TCPIN="www"
#En sortie
TCPOUT="www"
 
#Liest des ports UDP autorisés (vide équivaut à tout autoriser)
#Note: voir pour domain
#En entrée
UDPIN=""
#En sortie
UDPOUT=""
 
#Ecrire dans le journal: 1=écrire ""=rien faire
LOGGING=
 
####################################
###########Implémentation###########
####################################
 
 
#Chargement des modules
#Note Il le faut encore??
#modprobe ip_tables
#modprobe ip_conntrack  #Pour pas traiter la fragmentation
 
#Purger iptables
	#Détruit les règles
iptables -X
iptables -F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUPOUT ACCEPT
iptables -F FORWARD
	#Stratégie par défaut
iptables -P FORWARD DROP
	#Anti-spoof
iptables -A FORWARD -s $OURNET -i $EXTDEV -j DROP
	#Anti-smurf
iptables -A FORWARD -p icmp -i $EXTDEV -d $OURBCAST -j DROP
 
 
 
 
#Politique par défaut: tous les paquets sont refusés
iptables -A INPUT -i $EXTDEV -j DROP
 
 
 
 
#TCP - NOUVELLES CONNEXIONS ENTRANTES
#On accepte toutes les requetes de connexions provenant de l'exterieur
#uniquement sur les ports TCP autorisés
iptables -A FORWARD -i $EXTDEV -d $OURNET -p tcp --syn -m multiport --sports $TCPIN -j ACCEPT
 
#TCP - NOUVELLES CONNEXIONS SORTANTES
#On accepte toutes les requetes de connexions sortantes 
#sur les ports TCP autorisés
#iptables - A FORWARD -i $OURDEV -d $ANYADDR -p tcp --syn -m multiport --dports $TCPOUT -j ACCEPT
 
 
 
 
#UDP - ENTRANT
#On accepte les paquets UDP entrants pour les ports autorisés et les réponses
iptables -A FORWARD -i $EXTDEV -d $OURNET -p udp -m multiport --dports $UDPIN -j ACCEPT
iptables -A FORWARD -i $EXTDEV -s $OURNET -p udp -m multiport --sports $UDPIN -j ACCEPT
 
#UDP - SORTANT
#On accepte les paquets UDP sortants sur les ports autorisés et les réponses
#iptables -A FORWARD -i $OURDEV -d $ANYADDR -p udp -m multiport --dports -j ACCEPT
#iptables -A FORWARD -i $OURDEV -s $ANYADDR -p udp -m multiport --sports $UDPOUT -j ACCEPT
 
 
 
 
 
######################################
############JOURNALISATION############
######################################
 
if ["$LOGGING"]
then
iptables -A FORWARD -p tcp -j LOG	#Pour trafic TCP interdit
iptables -A FORWARD -p udp -j LOG	#Pour trafic UDP interdit
iptables -A FORWARD -p icmp -j LOG	#Pour trafic ICMP interdit
fi

Donc qu'est ce qui va pas ?

Merci

troumad · 12/12/2006, 07h07

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -p icmp -j ACCEPT

pour le ping

_solo · 12/12/2006, 12h15

et le modprobe n'est plus utile aujourd'hui ...

Citation:

Tu connais Trop d'information tue l'information ? On serait dans ce cas !

regarde juste les cinq premier liens

07/12/2006, 21h39	#1
biglittlekiss Invité de passage Inscription : novembre 2006 Messages : 25 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 25 Points : 1 Points : 1	Bloquer tous les ports sauf 80,21,22,844 Bonjour, Je suis avec IP table depuis toute la journée, et je n'arrive à rien. Plusieurs format d'affilé car a force je bloque tout. Ce que je veux faire, c'est: - Bloquer tous les ports de mon PC - sauf le port 80, 21,22 et 844 - rendre impossible le ping par un autre PC, tout en laissant mon serveur pouvoir faire un ping sur d'autres PC Sauf que je dois mal m'y prendre car ou tout passe, ou alors je n'ai que le ping qui passe... Bref, prise de tête. Qui peut m'aider? Merci d'avance
	00

11/12/2006, 13h19	#5
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 944 Points : 4 944	_solo : ce n'est pas le nombre de réponses qu'il faut voir, mais la pertinance des réponses... Tu connais Trop d'information tue l'information ? On serait dans ce cas ! Gorgonite ayant répondu, je ne donnerais pas la solution, mais elle se trouve aussi dans http://troumad.info/Linux/linux.odt un document à moi __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

12/12/2006, 07h07	#7
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 944 Points : 4 944	Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -A INPUT -p icmp -j ACCEPT pour le ping __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email