Configuration du firewall sous Debian

Configuration du firewall sous Debian - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-09-2008 à 16:34:02    

Bonjour à tous,
 
j’ai un petit souci avec la configuration du script du firewall sous Linux Debian. En fait, je dois bloquer tous les ports mais laisser le port internet ouvert (dans le sens où le pc Debian puisse accéder au net), ainsi que, si possible (ce n’est pas ça qui soit vraiment primordial), permettre de se connecter sur le pc Debian en ssh depuis un pc du réseau local.
 
Le petit problème, c’est que ça ne fonctionne pas tout à fait… Soit tous les ports sont bloqués, soit ils sont tous débloqués : je n’arrive pas à laisser ouvert que ces deux ports.
 
Voici mon script :
 
#!/bin/bash
INTERNET="eth1"
LOCAL="eth0"
Iptables –F
Iptables –t nat –F
Iptables –A OUTPUT –p tcp –i eth1 –-dport 80 –j ACCEPT
Iptables –A INPUT –p tcp –i eth0 –-dport ssh –j ACCEPT
Iptables –P INPUT –j DROP
Iptables –P FORWARD –j DROP
Iptables –P OUTPUT –j DROP
 
Voilà, qu’en dîtes-vous ?
 
 
Merci d’avance pour vos réponses,
Tom

Reply

Marsh Posté le 24-09-2008 à 16:34:02   

Reply

Marsh Posté le 24-09-2008 à 16:38:54    

deja ton script doit commencer par  
 
#!/bin/sh  
 
au lieu de  
 
#!/bin/bash

Reply

Marsh Posté le 24-09-2008 à 16:43:04    

1- depuis qd un port "local" est un eth0??
c'est pas plutôt un lo?
 
2- ta politique par défaut doit être mise en 1er dans ton script.
on bloque tout puis on regarde les regles suivantes, ou un truc dans le genre.
ça fait longtemps que j'ai pas touché de firewall à la mano.


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 24-09-2008 à 16:47:28    

la politique c'est je bloque tout en premier puis j'ouvre un peu le robinet
 
toi tu fais l'inverse

Reply

Marsh Posté le 24-09-2008 à 17:17:38    

En fait, là c’est ma seconde semaine en alternance en première année de BTS IG. On m’a demandé de faire ce travail seulement je n’avais encore jamais utilisé Linux de ma vie ! Autant dire que je suis un grand débutant dans le domaine… :(
 
Au début j’avais commencé par tout bloquer pour essayer d’ouvrir que les ports qui doivent l’être, mais ça ne fonctionnait toujours pas (et j’avais bien « #!/bin/sh » dans mes premiers scripts).
 
Plus j’avance dans mes recherches et plus je suis perdu. À chaque script explicatif que je trouve sur le net, il est différent… (j’ai bien fait attention qu’il s’agissait d’un script pour la version de Debian *) Déjà - par exemple - rien que sur l’endroit où l’on doit enregistrer le script : à chaque fois il est indiqué un endroit différent -_-‘

Reply

Marsh Posté le 24-09-2008 à 17:24:50    

commence par vérifier iptables -L, ça t'affiche les politiques en cours.
sinon execute (en root) ton script dans ton rep local avant de le placer ailleurs.
sinon quelquesoit la distrib. la syntaxe d'iptables est standart.


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 24-09-2008 à 18:31:22    

Peut-être que t'es tombé sur des vieilles docs mais normalement c'est toujours la même logique sur toutes les distributions.
 
Tu peux jeter un coup d'œil dans ma signature. Ça peut t'aider.

Reply

Marsh Posté le 24-09-2008 à 20:07:02    

Bon,
 
/bin/sh à la place de /bin/bash, c'est une invention de kariim, bash est un shell, y a pas de problême, si il est bien installé.
 
ensuite, memaster, la policy c'est "la règle par défaut" si aucune autre règle n'existe
 
(si aucune RULE ne MATCH, c'est la POLICY qui est prise en compte)
 
Il n'y a pas d'ordre particulier, même si dans la pratique c'est plus logique de mettre la policy en premier.
 
il te manque les related, established


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 24-09-2008 à 20:27:10    

zecrazytux a écrit :

Bon,
 
/bin/sh à la place de /bin/bash, c'est une invention de kariim, bash est un shell, y a pas de problême, si il est bien installé.
 
ensuite, memaster, la policy c'est "la règle par défaut" si aucune autre règle n'existe
 
(si aucune RULE ne MATCH, c'est la POLICY qui est prise en compte)
 
Il n'y a pas d'ordre particulier, même si dans la pratique c'est plus logique de mettre la policy en premier.
 
il te manque les related, established


merci de me rafraichir la mémoire, je vais devoir user d'iptables dès demain :jap:


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 24-09-2008 à 22:03:17    

mais shorewall putain
 
:|

Reply

Marsh Posté le 24-09-2008 à 22:03:17   

Reply

Marsh Posté le 24-09-2008 à 22:12:45    

M300A a écrit :

mais shorewall putain
 
:|


 
mais man iptables surtout :o
ou use pf, luke


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 24-09-2008 à 22:20:26    

zecrazytux a écrit :


 
/bin/sh à la place de /bin/bash, c'est une invention de kariim, bash est un shell, y a pas de problême, si il est bien installé.
 


 
Pas du tout c'est pas une invention, c'est une règle etablit par les vraix gouroux d'unix !  
Mon prof a la fac nous a soulé avec et il avait bien raison
 
Tout shell est compatible a 100 % avec sh,  
c'est pour cela qu'on force l'écriture des scripts en sh pour favorisé le portage de scripts de systeme a systeme

Reply

Marsh Posté le 24-09-2008 à 22:46:16    

Alors si ton prof l'as dit [:cosmoschtroumpf]


---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
Reply

Marsh Posté le 24-09-2008 à 22:56:39    

et le DNS, l'ICMP sinon ?

Reply

Marsh Posté le 25-09-2008 à 00:29:26    

kariim a écrit :


 
Pas du tout c'est pas une invention, c'est une règle etablit par les vraix gouroux d'unix !  
Mon prof a la fac nous a soulé avec et il avait bien raison
 
Tout shell est compatible a 100 % avec sh,  
c'est pour cela qu'on force l'écriture des scripts en sh pour favorisé le portage de scripts de systeme a systeme


C'est par ça qu'il fallait commencer, à mon avis, ça n'a pas grand intérêt de lui dire qu'il doit utiliser sh alors que c'est faux, sauf si tu as une information comme celle-ci à lui apporter ;)

Reply

Marsh Posté le 25-09-2008 à 21:09:32    

Yes mais je pensais pas que c'était un newbie de linux de 2 semaines ...
 
n'hesite pas si tu as d'autre question  :hello:  
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed