#!/bin/sh
# Script "iptables.sh"
# Fichier contenant les règles de filtrage "iptables"
 
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
# DEBUT des règles de FIREWALLING
 
# DEBUT des politiques par défaut
 
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
 
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
 
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
 
# FIN des politiques par défaut
 
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# J'autorise les connexions TCP et UDP entrantes sur le port 139
# mais uniquement sur l'interface "eth0"
# (pour que mon serveur Samba soit joignable depuis mon LAN seulement)
iptables -A INPUT -p tcp --dport 139 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -i eth0 -j ACCEPT
 
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
 
# FIN des règles de FIREWALLING
 
 
 
 
 
Y a t-il des failles que je n'aurais pas vues et sinon je tourne sous Mandrake 10.0... c'est mon premier firewall et je me suis basé sur la formation d'Alexis...
 
Merci d'avance
 
PS. je ne veux pas utiliser le firewall intégré de mandrake même si il semble vraiment efficace (squid c'est un proxy non+iptables sa doit etre fichtrement bien ?) parce que je tiens au coté formateur de le faire soi-même

pourquoi tu DROP pas tout ce qui arrive en FORWARD (puisque tu ne t'en sert pas) ?
 
et pourquoi tu mets reject comme cible ? DROP ça te plait pas ?
 
sinon, une bonne formation pour iptables :
http://christian.caleca.free.fr/netfilter/

mmm jai un probleme ... je suppose que mes partages sont accessibles de l'extérieurs mais je me rends compte que je ne peux plus accédé aux autres machines Windows de mon réseau
 
Je suppose que je devrais configurer
 
iptables -A OUTPUT -p tcp --dport 139 -i eth0 -j ACCEPT
iptables -A OUTPUT -p udp --dport 139 -i eth0 -j ACCEPT
 
Mais serait-ce sécuritaire ?

J'ai lu la formation MJules mais j'y retournerais plus longuement plus tard !

Finalement ce que je supposais ne fonctionne pas !

#!/bin/sh
# Script "iptables.sh"
# Fichier contenant les règles de filtrage "iptables"
 
# DEBUT des règles de FIREWALLING
 
# Je veux que les connexions entrantes ET sortantes soient bloquées par défaut
 
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP
 
# Je veux pouvoir surfer et seulement surfer !
 
 iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -j ACCEPT
 iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -j ACCEPT
 
# J'accepte les packets entrants relatifs à des connexions déjà établies
 
 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# J'autorise les connexions TCP et UDP entrantes sur le port 139
# mais uniquement sur l'interface "eth0"
# (pour que mon serveur Samba soit joignable depuis mon LAN seulement)
 
 iptables -A INPUT -p tcp --dport 139 -i eth0 -j ACCEPT
 iptables -A INPUT -p udp --dport 139 -i eth0 -j ACCEPT
 
#pour accepter le traffic sur le réseau local a partir de mon interface eth0
 
 iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
 
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
 
 iptables -A INPUT -j REJECT
 
# FIN des règles de FIREWALLING
 
Voilà le nouveau script mais ... jai un probleme ... il accepte toute les connexions sortantes... je vais m'arranger pour qu'il n'accepte que le port 80 en connexion sortante ainsi que le port d'MSN c'est tout ... le script tel qu'il est présentement me bloque vers mon lan et vers le net ... finalement tout est bloqué, donc je veux savoir comment jpourrais débloqué seulement ce dont jai besoin et ce meme en connection sortante ! merci d'avance!
 
Mais bon lentement mais surement sa avance et j'y prend plaisir !

je suis pas expert dans le domaine mais ya des trucs que je trouve bizarre
 

 
 
perso, mes règles de firewalling sont les suivantes :
je DROP tout ce qui entre et tout ce qui traverse
j'accepte tout en sortie
 
j'autorise uniquement en entrée ce qui est relié ou établie
 
j'autorise tout ce qui vient de mon LAN et de localhost
 
 
ça + les options qui vont bien pour interdire aux deamon d'écouter ailleurs  que sur le LAN (samba,ssh) ou sur localhost (cups) + mises à jour régulière et tu devrais être tranquille

Donc il suffit d'utiliser le port 80 en port source pour faire ce que ton firewall nous laisse passer

pardon ... finalement si jai bien compris ya une faille c'est sa ?floups ? jai pas trop compris ta phrase ?

Finalement c'est devenu quelques chose qui ressemble a cela !
 
#!/bin/sh
 
# REMISE à ZERO des règles de filtrage
 
iptables -F
iptables -t nat -F
 
# DEBUT des "politiques par défaut"
 
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
 
# FIN des "politiques par défaut"
 
 
# DEBUT des règles de filtrage
 
iptables -A INPUT -i lo -j ACCEPT                                  # Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT              # Accepter le traffic du réseau local !
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   # J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -j DROP                                          # La règle par défaut pour la chaine INPUT devient "REJECT"
 
# FIN des règles de filtrage

sert à rien le dernier... ta politique par défaut est déjà DROP pour le INPUT

 
vu que j'ai à peu de chose près les même (de quoi faire du nat en plus mais ça change pas grand chose), je trouve qu'elles sont très biens

[quote=639897,0,13,33678]vu que j'ai à peu de chose près les même (de quoi faire du nat en plus mais ça change pas grand chose), je trouve qu'elles sont très biens [/quote]
la remise a 0 des regle de filtrage ca sert vraiment a qq chose vu qu'apres il a une politique par defaut ?

mouais mais jai pas besoin de nat ... sinon sa je sais le faire ! Mais bon j'aurais aimé aussi tout bloqué en sortie et mettre que ce dont j'ai besoin mais j'y arrive pas !!!

[quote=640084,0,15,91572]mouais mais jai pas besoin de nat ... sinon sa je sais le faire ! Mais bon j'aurais aimé aussi tout bloqué en sortie et mettre que ce dont j'ai besoin mais j'y arrive pas !!![/quote]
j'avais fait ca au debut mais c pas top en fait. mais pkoi tt bloquer en sortie ?? y a un interet ?

[quote=640187,0,16,8052]j'avais fait ca au debut mais c pas top en fait. mais pkoi tt bloquer en sortie ?? y a un interet ?[/quote]
Non.

[quote=640187,0,16,8052]j'avais fait ca au debut mais c pas top en fait. mais pkoi tt bloquer en sortie ?? y a un interet ?[/quote]
sur une machine de bureau, je ne pense pas, mais il faut évidemment faire en sorte qu'elle ne soit pas compromise (donc mises à jour de sécu + qql précautions pour rendre un peu plus complexe la tâche à un éventuel attaquant)

Bon je viens de monter un zoli serveur Web et je compte le foutre derriere ma passerelle !

sinon si tu ne vx pas trop te prendre la tête avec ton firewall tu reprends le script d'arno disponible sur freshmeat

ok cool jvais jeté un oeil...thx