Discussion :

[storm_2000]

Bonjour,

je suis en train de configurer un serveur linux sur lequels j'ai :
- svn
- jboss
- postgres (en local)
- un futur serveur de mails.

pour le moment j'ai commencer la configuration de iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
 
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 3690 -j ACCEPT

ai-je oublier des choses ou non ?

de plus, après la configuration de iptables : que puis-je faire pour sécurisé encore plus mon serveur ?

[N_BaH]

ai-je oublier des choses ou non ?

au moins une règle pour l'OUTPUT...
?
sinon, ton serveur ne répondra pas aux requêtes qu'il reçoit.

[chaval]

Non, il est possible de se passer de règles OUTPUT.
Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)

[storm_2000]

en faite mon serveur c'est juste une unité central donc oui l'ensemble des services sité doivent être accessible à distance.

[EDIT]

je vais tester et vous tiens de l'évolution...

[storm_2000]

Non, il est possible de se passer de règles OUTPUT.
Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)

je viens d'utiliser ta commande mais impossible de me connecter en SSH avec putty depuis un autre PC....

[storm_2000]

Je viens de modifier mon script pour avoir le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
iptables -F
iptables -X
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#Nous autorisons la boucle lo
sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
#Nous autorisons l'ensemble des connexions déjà établie (entrante + sortante)
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#SSH en INPUT. Impossible de se connecter depuis le serveur sur un autre serveur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
# HTTP
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
 
# HTTP / HTTPS pour les MAJ de linux
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
 
# FTP
sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
 
# NTP (horloge du serveur) 
sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
 
 
# RTM
sudo iptables -t filter -A INPUT -p udp --dport 6100:6200 -j ACCEPT

pouvez-vous me le valider ?
je ne pense pas avoir fait d'erreur

[N_BaH]

si tu avais écrit tout ton script avec sudo $EDITOR ton_script, tu n'aurais pas besoin d'un sudo sur chaque ligne, mais simplement de lancer ton script manuellement avec sudo, ou, sans, depuis l'un des scripts de démarrage de l'interface réseau principal

et, le DNS n'utilise-t-il pas uniquement l'udp ?

pour tester tes règles, tu peux utiliser un service en ligne très utile.