Discussion :

[dancom5]

Bonjour.

Ça fait un temps que je me casse la tête avec iptables et les scripts.

J'utilise fail2ban, mod_security, iptables.up.rules et ipset en plus de de geoip.

c'est que dans tout ça, j'ai pluseiurs scripts.sh

Premièrement, mon iptables.up.rules actuel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
# Generated by iptables-save v1.4.4 on Thu May  3 15:28:06 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban - [0:0]
-A FORWARD -o eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_IN:
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp -m limit -m state -i eth0 ! -f --dport 80 --limit 1/second --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp -m limit -m state -s 192.168.1.3 -i eth0 ! -f --dport 20:21 --limit 1/second --state NEW,ESTABLISHED,RELATED -j ACCEPT
# ssh
-A INPUT -p tcp -m tcp -s 192.168.1.3 --dport 22322 -j ACCEPT
# autre
-A INPUT -p tcp -m tcp --dport 8080:8081 -j ACCEPT
-A INPUT -p tcp -m state -m recent -i eth0 --dport 80 --state NEW -j DROP  --update --seconds 10 --hitcount 20 --name WEB 
-A INPUT -m recent -j DROP  --name scanneur --update --seconds 3600 
-A INPUT -p tcp -m tcp -m recent --dport 1:65535 -j DROP  --name scanneur --set
-A INPUT -m set -j DROP --set feckoff src
COMMIT
*mangle
:PREROUTING ACCEPT [1:44]
:INPUT ACCEPT [3:132]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:120]
:POSTROUTING ACCEPT [1:40]
COMMIT
*nat
:PREROUTING ACCEPT [4:176]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

Dans l'ordre, j'ai ceci :

1- mon modem
2- mon routeur lynksys avec dd-wrt
3- a) ordinteur ubuntu serveur 10.04 lucyd aucun desktop
b) autres ordinateur windows

En accès publique le port 80, et les autres accès seulement en local entre une machine et le serveur (ftp, webmin, ...)

Je viens à ne plus savoir ce qui est prioritaire entre mes scripts.

Mon iptables.up.rules semble être prioritaire et permanent puisque avec webmin, j'ai mis pour qu'il soit au démarrage. Ensuite, mon script ipset.sh qui est démarré.

Quelqu'un peut m'éclairer si les priorités et surtout m'indiquer si je pourrais améliorer mon iptables.up.rules?

de l'aide serait apprécié.