IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

[IPTABLES et sécurité] besoin d'aide et conseils


Sujet :

Sécurité

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    storm_2000
    Invité(e)
    Par défaut [IPTABLES et sécurité] besoin d'aide et conseils
    Bonjour,

    je suis en train de configurer un serveur linux sur lequels j'ai :
    - svn
    - jboss
    - postgres (en local)
    - un futur serveur de mails.

    pour le moment j'ai commencer la configuration de iptables :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
     
    sudo iptables -P INPUT DROP
    sudo iptables -P FORWARD DROP
    sudo iptables -P OUTPUT DROP
     
    sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 3690 -j ACCEPT
    ai-je oublier des choses ou non ?

    de plus, après la configuration de iptables : que puis-je faire pour sécurisé encore plus mon serveur ?

  2. #2
    Modérateur
    Avatar de N_BaH
    Profil pro
    Inscrit en
    Février 2008
    Messages
    7 664
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2008
    Messages : 7 664
    Par défaut
    Citation Envoyé par storm_2000
    ai-je oublier des choses ou non ?
    au moins une règle pour l'OUTPUT...
    ?
    sinon, ton serveur ne répondra pas aux requêtes qu'il reçoit.
    N'oubliez pas de consulter les cours shell, la FAQ, et les pages man.

  3. #3
    Membre Expert

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2004
    Messages
    1 060
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Mars 2004
    Messages : 1 060
    Par défaut
    Non, il est possible de se passer de règles OUTPUT.
    Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
    Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)

  4. #4
    storm_2000
    Invité(e)
    Par défaut
    en faite mon serveur c'est juste une unité central donc oui l'ensemble des services sité doivent être accessible à distance.

    [EDIT]

    je vais tester et vous tiens de l'évolution...

  5. #5
    storm_2000
    Invité(e)
    Par défaut
    Citation Envoyé par chaval Voir le message
    Non, il est possible de se passer de règles OUTPUT.
    Avec la ligne suivante, le serveur pourra répondre seulement aux requêtes qu'il recoit, grace aux mots clé related et established :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
    Avec une ligne OUTPUT, ca aurait eu le même effet, mais en plus, tu aurais permi à ton serveur de se connecter en SSH sur d'autres postes (ce qui n'est peut être pas nécessaire, et doit être bloqué...)
    je viens d'utiliser ta commande mais impossible de me connecter en SSH avec putty depuis un autre PC....

  6. #6
    storm_2000
    Invité(e)
    Par défaut
    Je viens de modifier mon script pour avoir le suivant :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    iptables -F
    iptables -X
     
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
     
    #Nous autorisons la boucle lo
    sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
    sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
     
    #Nous autorisons l'ensemble des connexions déjà établie (entrante + sortante)
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
     
    #SSH en INPUT. Impossible de se connecter depuis le serveur sur un autre serveur
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     
    # ICMP (Ping)
    sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
    sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
     
    # DNS
    sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
    sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
    sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
    sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
     
    # HTTP
    sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
     
    # HTTP / HTTPS pour les MAJ de linux
    sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
    sudo iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
     
    # FTP
    sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
     
    # NTP (horloge du serveur) 
    sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
     
     
    # RTM
    sudo iptables -t filter -A INPUT -p udp --dport 6100:6200 -j ACCEPT
    pouvez-vous me le valider ?
    je ne pense pas avoir fait d'erreur

  7. #7
    Modérateur
    Avatar de N_BaH
    Profil pro
    Inscrit en
    Février 2008
    Messages
    7 664
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2008
    Messages : 7 664
    Par défaut
    si tu avais écrit tout ton script avec sudo $EDITOR ton_script, tu n'aurais pas besoin d'un sudo sur chaque ligne, mais simplement de lancer ton script manuellement avec sudo, ou, sans, depuis l'un des scripts de démarrage de l'interface réseau principal

    et, le DNS n'utilise-t-il pas uniquement l'udp ?

    pour tester tes règles, tu peux utiliser un service en ligne très utile.
    N'oubliez pas de consulter les cours shell, la FAQ, et les pages man.

Discussions similaires

  1. gestion de formation ou de planning Besoin d'aide, de conseil
    Par mido_bc dans le forum EDI et Outils pour Java
    Réponses: 0
    Dernier message: 30/01/2009, 11h28
  2. Sécurité besoin de conseils
    Par keopsk dans le forum Apache
    Réponses: 2
    Dernier message: 03/01/2007, 17h23
  3. besoin d'aide et de conseils pour un noob
    Par benouille69 dans le forum Flash
    Réponses: 1
    Dernier message: 27/10/2006, 13h06
  4. Réponses: 4
    Dernier message: 08/06/2006, 20h41
  5. Game design [Besoin d'aide, conseils....]
    Par poussinphp dans le forum Langage
    Réponses: 23
    Dernier message: 24/09/2005, 09h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo