Discussion :

[manuS]

Bonjour,

J'ai un problème avec la commande -P INPUT DROP de mon script qui bloque mon accès ssh malgré les règles d'ACCEPT. (ubunutu 12.04)

J'ai regardé de nombreux exemples de scripts qui ne me semblent pas différents, et pourtant...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
IPT=/sbin/iptables
 
case "$1" in
start)
    # Empty current tables
    $IPT -F
    $IPT -X
    # Drop anything else as default policy
    $IPT -P INPUT DROP
    # Don't break current connections
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Allow SSH (standard port 22)
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # Allow HTTPS (standard port 443)
    $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
    # Allow ICMP (ping)
    $IPT -A INPUT -i eth0 -p icmp --source xxxxx -j ACCEPT
    $IPT -A INPUT -i eth0 -p icmp --source yyyyyy -j ACCEPT
 
exit 0
;;

J'ai également essayé en mettant la commande drop en dernière ligne du script, mais avec le même résultat.

Des idées ?
Merci

[becket]

Ton DROP met la policy sur la chaine INPUT par défaut. Donc lorsque tu lances ta commandes, il va couper toutes les connections.

Ta ligne 10 dit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
  # Don't break current connections

Hors, tu autorises certains trafics après avoir donné le comportement par défaut. Dans ce cas, tu couperas toujours les connexions en court.

Pour éviter de faire ce genre de chose, tu dois, commencer par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
-P INPUT ACCEPT

et terminer ton script par un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
-P INPUT DROP

[manuS]

Bonjour,

Merci pour ta réponse.
J'avais bien essayé de mettre le drop en fin de script (et je viens de re-essayer), mais le résultat est le même, la connexion courante est coupée et il n'est plus possible d'ouvrir de nouvelle connexions ensuite.

Est ce que cela peut venir d'un paramétrage particulier de mon hébergement vps ?
L'hébergeur propose un modèle de script sans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

-P INPUT DROP

mais à la place

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

IPT -A INPUT -i eth0 -j DROP

Je voulais utiliser la première solution car lorsque j'essaie avec la seconde et que je fais un nmap sur mon ip, il m'indique que des ports (exp: http) sont ouverts alors qu'ils ne le devrait pas.

Merci

[becket]

tu as commencé ton fichier avec ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
-P INPUT ACCEPT

[manuS]

Bonjour,

oui :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#!/bin/sh
# chkconfig: 3 21 91
# description: Firewall
 
IPT=/sbin/iptables
 
case "$1" in
start)
    # Empty current tables
    $IPT -F
    $IPT -X
    # Accept all
    $IPT -P INPUT ACCEPT
    # Don't break current connections
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Allow SSH (standard port 22)
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # Allow HTTPS (standard port 443)
    $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
    # Allow ICMP (ping)
    $IPT -A INPUT -i eth0 -p icmp --source xxxx -j ACCEPT
    $IPT -A INPUT -i eth0 -p icmp --source yyyy -j ACCEPT
    # Drop all other
#    $IPT -A INPUT -i eth0 -j DROP
    # Drop anything else as default policy
    $IPT -P INPUT DROP
exit 0
;;

[demkada]

Bonjour,

J'ai un problème avec la commande -P INPUT DROP de mon script qui bloque mon accès ssh malgré les règles d'ACCEPT. (ubunutu 12.04)

J'ai regardé de nombreux exemples de scripts qui ne me semblent pas différents, et pourtant...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
IPT=/sbin/iptables
 
case "$1" in
start)
    # Empty current tables
    $IPT -F
    $IPT -X
    # Drop anything else as default policy
    $IPT -P INPUT DROP
    # Don't break current connections
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Allow SSH (standard port 22)
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # Allow HTTPS (standard port 443)
    $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
    # Allow ICMP (ping)
    $IPT -A INPUT -i eth0 -p icmp --source xxxxx -j ACCEPT
    $IPT -A INPUT -i eth0 -p icmp --source yyyyyy -j ACCEPT
 
exit 0
;;

J'ai également essayé en mettant la commande drop en dernière ligne du script, mais avec le même résultat.

Des idées ?
Merci

Bonjour,
Je crois que le problème de ton script vient du fait que tu n'a pas accepté le trafic sur la boucle locale 'lo' et que tu ne laisse pas entrer le trafic sur le port 22 du protocole UDP (facultatif, ça dépends de quel service tu utilise avec ton SSH mais active le) et aussi vérifie que ta chaine OUTPUT laisse sortir les connections des protocoles tcp et upd du port 22

[manuS]

Merci, je vais essayer tout ça