Iptable sur mesure pour petit nouveau :)

Iptable sur mesure pour petit nouveau :) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 11-05-2015 à 08:04:44    

Bonjour à la communauté:)
 
N'ayant pas assez de connaissances réseaux et iptables, je voudrais bien que quelqu'un m'aide pour faire une iptable correspondant à mes besoins que je vais vous donner ci-dessous :
 
Construire mon iptable avec ufw sous Ubuntu 14,04 lts, (si s'est le plus simple ?), sinon me faire un fichier et me dire a quel endroit je dois le mettre et comment ?
 
Laisser l'accès aux sites https. Pour consulter mes sites sécurisé (banque, impôts ...)
Laisser l'accès a Evolution pour lire mes mail.
Et bien sur laisser l'accès aux mises a jours système.
 
Bloquer tout le reste si s'est possible ? Pour éviter des intrusions.
 
Je compte ne me servir d'Ubuntu que pour mes données personnelles.
 
Merci d'avance.

Reply

Marsh Posté le 11-05-2015 à 08:04:44   

Reply

Marsh Posté le 14-05-2015 à 14:21:09    

En general un iptables de base marche de la facon suivante:
 
- par defaut, les inputs sont bloquees (on peut pas se connecter a ta machine)
- par defaut, les outputs sont bloquees
- les inputs corresondants a une requetes que tu as faite, peuvent revenir.
 
C'est suffisant. Si tu cherches iptables pour Ubuntu tu trouveras les exemples, ca tient en 4 ou 5 lignes.

Reply

Marsh Posté le 14-05-2015 à 16:13:21    

#!/bin/bash
 
iptables -t filter -F
iptables -t filter -X
 
 
# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
 
# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Ne pas casser les connexions etablies
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
 
# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
 
# Serveur NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
 
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
# Interdire ping
iptables -t filter -A INPUT -p icmp -j  DROP
iptables -t filter -A OUTPUT -p icmp -j DROP
 
 
# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
 
 
# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# SMTPS
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# IMAPS
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT

Reply

Marsh Posté le 14-05-2015 à 18:54:05    

ludo1c2 a écrit :

#!/bin/bash

 

iptables -t filter -F
iptables -t filter -X

 


# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

 


# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Ne pas casser les connexions etablies
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

 

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT

 

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

 

# Serveur NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

 

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

 

# Interdire ping
iptables -t filter -A INPUT -p icmp -j  DROP
iptables -t filter -A OUTPUT -p icmp -j DROP

 


# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

 


# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 


# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# SMTPS
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# IMAPS
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT


Il est pas top jeu de règle là:
- tu as commentés la gestion des connexions, donc tu seras en stateless
- derrière, je sais pas si c'est volontaire ou non, tu ouvres en input et output tous tes flux, sauf que ça correspond pas au flux retour (le port est toujours en destination.
   - c'est pour l'hébergement de serveur smtp/imap/web/etc... ? dans ce cas vu que tes policy sont à drops et que t'as pas de stateful => ça marchera pas
   - c'est pour la gestion des flux retour ? dans ce idem, ça marchera car pas stateful, policy à drop et pas de règle pour gérer
(En fait, si tu l'as dans ton bloc ftp, mais je suppose que c'était uniquement pour les connexions subséquentes du ftp.

 

- tu interdis l'icmp pour interdire le ping... sauf que l'icmp c'est pas que du ping, c'est tout ce qui gère IP en général. Donc bye les messages d'erreurs standard. le ping c'est juste deux types de paquests icmp. Si tu veux interdire uniquement le ping, utilise les bonnes options

 


Bef, ça sent le jeu de règle jeté vite fait sans vraiment avoir conscience de ce qu'il fait réellement, ce qui est tout sauf une best practice en sécurité.


Message édité par o'gure le 14-05-2015 à 18:59:38

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-05-2015 à 06:12:46    

merci pour vos réponses je vais garder la config. par défaut pour le moment.
 
merci o'gure pour le mal que tu t'est donné;


Message édité par sapiens40 le 15-05-2015 à 06:14:45
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed