script iptables, vous en pensez quoi ?

script iptables, vous en pensez quoi ? - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 07-04-2003 à 10:02:57    

Voila, j'ai fais un script iptables, ca fonctionne bien mais je sais pas si c'est super optimisé. Qu'en pensez-vous ??
 

Code :
  1. #Vidage de regles existantes
  2. iptables -F
  3. iptables -X -t nat
  5. #Interdiction de tout le traffic en local/externe sur toutes interfaces
  6. iptables -P INPUT DROP
  7. iptables -P OUTPUT DROP
  8. iptables -P FORWARD DROP
  10. #Autorisation de tout le traffic local sur toutes interfaces
  11. iptables -A INPUT -i eth0 -j ACCEPT
  12. iptables -A INPUT -i lo -j ACCEPT
  13. iptables -A OUTPUT -o eth0 -j ACCEPT
  14. iptables -A OUTPUT -o lo -j ACCEPT
  16. #-------------------------#
  17. #Autorisation serveur HTTP#
  18. #-------------------------#
  19. iptables -A INPUT -p tcp -i ppp0 --sport 1024:65335 --dport 80 -j ACCEPT
  20. iptables -A OUTPUT -p tcp -o ppp0 --dport 1024:65535 --sport 80 -j ACCEPT
  22. #--------------------------#
  23. #Autorisation serveur HTTPS#
  24. #--------------------------#
  25. iptables -A INPUT -p tcp -i ppp0 --sport 1024:65335 --dport 443 -j ACCEPT
  26. iptables -A OUTPUT -p tcp -o ppp0 --dport 1024:65535 --sport 443 -j ACCEPT
  28. #------------------------#
  29. #Autorisation serveur FTP#
  30. #------------------------#
  31. iptables -A INPUT -p tcp -i ppp0 --sport 1024:65335 --dport 21 -j ACCEPT
  32. iptables -A OUTPUT -p tcp -o ppp0 --dport 1024:65535 --sport 21 -j ACCEPT
  34. #Autorisation requetes DNS
  35. #-------------------------
  36. #Serveur
  37. iptables -A INPUT -p udp -i ppp0 --sport 53 -j ACCEPT
  38. iptables -A OUTPUT -p udp -o ppp0 --dport 53 -j ACCEPT
  39. #LAN
  40. iptables -A FORWARD -p udp -i ppp0 --sport 53 -j ACCEPT
  41. iptables -A FORWARD -p udp -o ppp0 --dport 53 -j ACCEPT
  43. #Autorisation du surf
  44. #--------------------
  45. #Serveur
  46. iptables -A INPUT -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
  47. iptables -A OUTPUT -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
  48. #LAN
  49. iptables -A FORWARD -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
  50. iptables -A FORWARD -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
  51. iptables -A FORWARD -p tcp -i ppp0 --sport 443 --dport 1024:65535 -j ACCEPT
  52. iptables -A FORWARD -p tcp -o ppp0 --dport 443 --sport 1024:65535 -j ACCEPT
  54. #Autorisation FTP
  55. #----------------
  56. #Serveur
  57. iptables -A INPUT -p tcp -i ppp0 --sport 21 --dport 1024:65535 -j ACCEPT
  58. iptables -A OUTPUT -p tcp -o ppp0 --dport 21 --sport 1024:65535 -j ACCEPT
  59. iptables -A INPUT -p tcp -i ppp0 --sport 20 --dport 1024:65535 -j ACCEPT
  60. iptables -A OUTPUT -p tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT
  61. #LAN
  62. iptables -A FORWARD -p tcp -i ppp0 --sport 21 --dport 1024:65535 -j ACCEPT
  63. iptables -A FORWARD -p tcp -o ppp0 --dport 21 --sport 1024:65535 -j ACCEPT
  64. iptables -A FORWARD -p tcp -i ppp0 --sport 20 --dport 1024:65535 -j ACCEPT
  65. iptables -A FORWARD -p tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT
  67. #Autorisation mIRC
  68. #-----------------
  69. #Only LAN
  70. iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p tcp --dport 113 --to-destination 192.168.1.4:113
  71. iptables -A FORWARD -p tcp -i ppp0 --dport 113 -j ACCEPT
  72. iptables -A FORWARD -p tcp -o ppp0 --sport 113 -j ACCEPT
  73. iptables -A FORWARD -p tcp -i ppp0 --sport 6667:6669 --dport 1024:65535 -j ACCEPT
  74. iptables -A FORWARD -p tcp -o ppp0 --dport 6667:6669 --sport 1024:65535 -j ACCEPT
  76. #Autorisation POP et SMTP
  77. #------------------------
  78. #Serveur
  79. iptables -A OUTPUT -p tcp -o ppp0 --dport 25 --sport 1024:65535 -j ACCEPT
  80. iptables -A INPUT -p tcp -i ppp0 --sport 25 --dport 1024:65535 -j ACCEPT
  81. #LAN
  82. iptables -A FORWARD -p tcp -i ppp0 --sport 110 --dport 1024:65535 -j ACCEPT
  83. iptables -A FORWARD -p tcp -o ppp0 --dport 110 --sport 1024:65535 -j ACCEPT
  84. iptables -A FORWARD -p tcp -i ppp0 --sport 25 --dport 1024:65535 -j ACCEPT
  85. iptables -A FORWARD -p tcp -o ppp0 --dport 25 --sport 1024:65535 -j ACCEPT
  87. #Autorisation All Seeing Eye
  88. #---------------------------
  89. #LAN
  90. iptables -A FORWARD -p tcp -i ppp0 --sport 27243:27245 --dport 1024:65535 -j ACCEPT
  91. iptables -A FORWARD -p tcp -o ppp0 --dport 27243:27245 --sport 1024:65535 -j ACCEPT
  92. iptables -A FORWARD -p udp -o ppp0 --dport 27243:27245 --sport 1024:65535 -j ACCEPT
  93. iptables -A FORWARD -p udp -i ppp0 --sport 27243:27245 --dport 1024:65535 -j ACCEPT
  94. #serveurs AUTH WON
  95. iptables -A FORWARD -p tcp -i ppp0 --sport 6003 --dport 1024:65535 -j ACCEPT
  96. iptables -A FORWARD -p tcp -o ppp0 --dport 6003 --sport 1024:65535 -j ACCEPT
  97. iptables -A FORWARD -p tcp -i ppp0 --sport 7002 --dport 1024:65535 -j ACCEPT
  98. iptables -A FORWARD -p tcp -o ppp0 --dport 7002 --sport 1024:65535 -j ACCEPT
  99. iptables -A FORWARD -p tcp -i ppp0 --sport 27010:27012 --dport 1024:65535 -j ACCEPT
  100. iptables -A FORWARD -p tcp -o ppp0 --dport 27010:27012 --sport 1024:65535 -j ACCEPT
  101. #serveurs CS
  102. iptables -A FORWARD -p udp -o ppp0 --dport 27015:27030 --sport 1024:65535 -j ACCEPT
  103. iptables -A FORWARD -p udp -i ppp0 --sport 27015:27030 --dport 1024:65535 -j ACCEPT
  105. echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  106. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  107. echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  109. #Partage de connexion
  110. echo 1 > /proc/sys/net/ipv4/ip_forward
  111. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE


 
Merci :hello:

Reply

Marsh Posté le 07-04-2003 à 10:02:57   

Reply

Marsh Posté le 07-04-2003 à 10:35:31    

Tu mets tes commandes en double pour autoriser les connexions dans les 2 sens (la connexion, et le retour de connexion): ne vaut-il pas mieux laisser les règles entrantes, et remplacer toutes les règles sortantes par cette unique règle ?
 

# Toutes les connexions établies et relatives sont acceptées
iptables -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT


 
Dans tes plages de ports autorisés, tu spécifies toujours le port de fin (65535), il n'est pas obligatoire, par exemple:
 

iptables -A INPUT -p tcp -i ppp0 --sport 1024: --dport 80 -j ACCEPT


 
Enfin, All seeing eyes a-t-il réellement besoin à la fois de tcp et udp ? Il me semble que la plupart des programmes utilisent soit l'un, soit l'autre ...


Message édité par [Albator] le 07-04-2003 à 10:36:19
Reply

Marsh Posté le 07-04-2003 à 10:49:17    

Ok merci :)
Pour l'autorisation dans les deux sens, c'est pour que ce soit bien clair dans ma tete :D
Sinon pour all seing eye, la faq indique que tcp et udp sont necessaires, mais je vais tester quand meme ;)
 

Reply

Marsh Posté le 17-04-2003 à 23:48:26    

Un chti : iptables -L -v
Serait pratique pour voir tes regles en un clin d'oeil
Sinon , plusieurs remarques :  
 
Le filtrage sur le port source, perso je ne trouve pas ca utile il est tres facile de bypassé ca !
 
Pour le dns laisse aussi passer le tcp sur le port 53, le dns s'en sert de temps en temps ...
 
Ca serait pas mal ossi de rajouté a la fin, des regles pour le logs !
 
Vala, je crois que tu a du boulot ;)
A+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed