[Résolu] IPtables bloque tout seul les scan ?

IPtables bloque tout seul les scan ? [Résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-03-2010 à 10:38:21    

Bonjour,
 
Je suis en train de mettre en place un firewall sur mes différentes VM. Au moment de tester si le firewall est efficace, je remarque qu'il empêche le scan des ports (et ce avec ou sans la règle :??:).
IPtables empêche-t-il le scan par défaut ? A ma connaissance non ...
 
 
Merci pour vos explications :jap:.
 

Code :
  1. IPTABLES=`which iptables`
  2. IFLAN=eth0
  3. IPLAN=10.1.1.201/32
  4. NETWORK=10.1.1.0/24
  6. case "$1" in
  7.    start)
  8.       echo "Starting Firewall"
  9.      
  10.       # Flush all tables and delete user chain.
  11.       for table in "mangle" "raw" "filter" "nat"
  12.       do
  13.          $IPTABLES -t $table -F
  14.          $IPTABLES -t $table -X
  15.       done
  16.       # Set default Filter policy.
  17.       for chaines in "INPUT" "OUTPUT" "FORWARD"
  18.       do
  19.          $IPTABLES -t filter -P $chaines DROP
  20.       done
  21.       # Set default Mangle policy.
  22.       for chaines in "INPUT" "OUTPUT" "FORWARD" "PREROUTING" "POSTROUTING"
  23.       do
  24.          $IPTABLES -t mangle -P $chaines ACCEPT
  25.       done
  26.       # Set default NAT policy.
  27.       for chaines in "PREROUTING" "POSTROUTING" "OUTPUT"
  28.       do
  29.          $IPTABLES -t nat -P $chaines ACCEPT
  30.       done
  32.       # Allow loopback traffic.
  33.       $IPTABLES -t filter -A INPUT -i lo -p all -s 127.0.0.1 -j ACCEPT
  34.       $IPTABLES -t filter -A OUTPUT -o lo -p all -d 127.0.0.1 -j ACCEPT
  35.       # Allow authorized traffic from/to eth0.
  36.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  37.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
  38.       $IPTABLES -t filter -A INPUT -i $IFLAN -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
  39.       # Limit port scan.
  40.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
  41.       # Allow ping. (LAN to Internet)
  42.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p icmp --icmp-type echo-request -j ACCEPT
  43.       $IPTABLES -t filter -A INPUT -i $IFLAN -p icmp --icmp-type echo-reply -j ACCEPT
  44.       # Allow SSH.
  45.       $IPTABLES -t filter -A INPUT -i $IFLAN -s $NETWORK -p tcp --dport 22 -m state --state NEW -j ACCEPT
  46.       $IPTABLES -t filter -A INPUT -i $IFLAN -s x.x.x.x/32 -p tcp --dport 22 -m state --state NEW -j ACCEPT
  47.       # Allow Apache.
  48.       $IPTABLES -t filter -A INPUT -i $IFLAN -s $NETWORK -p tcp --dport 80 -m state --state NEW -j ACCEPT
  49.       $IPTABLES -t filter -A INPUT -i $IFLAN -s x.x.x.x/32 -p tcp --dport 80 -m state --state NEW -j ACCEPT
  50.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp --dport 443 -m state --state NEW -j ACCEPT
  51.       # Allow DNS requests for updates.
  52.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p udp --dport 53 -m state --state NEW -j ACCEPT
  53.       # Allow NTP requests.
  54.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p udp -d x.x.x.x/32 --dport 123 -j ACCEPT


Message édité par Gavrinis le 19-03-2010 à 17:24:03
Reply

Marsh Posté le 03-03-2010 à 10:38:21   

Reply

Marsh Posté le 14-03-2010 à 16:38:21    

[:valentinorossi]

Reply

Marsh Posté le 14-03-2010 à 16:45:21    

Sans aucune règle dans tes chaînes, iptables ou le kernel ne fait absolument rien pour empêcher un scan.
Les ports ouverts répondront par un pacquet TCP syn/ack et les ports fermé par un RST.
 
(contrairement au bsd qui ont une fonction de rate-limiting de base)


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-03-2010 à 16:56:43    

C'est justement ça le problème, nmap ne voit rien alors que je n'ai aucune règle qui empêche le scan.

Reply

Marsh Posté le 14-03-2010 à 17:00:59    

par il ne voit rien, t'entends quoi ?
 
Faudrait  que tu nous décrives ton archi de test (schéma réseau, fonction de nat, firewall, internet, cible, PC qui émet le scan de nmap) et la réponse précise de nmap.


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-03-2010 à 17:11:07    

Rien ne s'affiche.
 
C'est bêtement deux ordi l'un sous Debian (le serveur), l'autre sous Archlinux (mon portable), ils sont dans le même sous réseau, il n'y a pas de firewall (à part celui au dessus).

Reply

Marsh Posté le 14-03-2010 à 17:16:28    

Par 'rien' t'entend quoi ? [:ddr555]
De base, tu devrais avoir un minimum :o

 

> nmap localhost

 

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-14 17:15 CET
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):

 

:o

 

Tu veux pas copier coller exactement ce qu'il te met ? :o


Message édité par o'gure le 14-03-2010 à 17:16:47

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-03-2010 à 17:19:40    

$ nmap 10.1.1.201
 
Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-14 17:15 CET

Reply

Marsh Posté le 14-03-2010 à 17:30:03    

il répond au ping ton 10.1.1.201  ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-03-2010 à 18:02:14    

Oui

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed