iptables

Questions relatives à la sécurité de votre système : firewall, SELinux, etc...
florian26
Messages : 5
Inscription : 30 mai 2012, 15:02

iptables

Message par florian26 » 30 mai 2012, 15:07

Bonjour à tous !

J'ai un "petit" soucis avec iptables (dernière version) sous Centos5 64bits.
J'ai installé le panel Kloxo et suivi : http://wiki.lxcenter.org/How+to+secure+ ... h+IPTABLES

Cependant j'ai eu plusieurs soucis lorsque j'ai tenté de lancer le firewall :
Image

Quelqu'un pourrait il m'aider ?

En espérant que ce soit le cas,
Merci par avance,
Florian

florian26
Messages : 5
Inscription : 30 mai 2012, 15:02

Re: iptables

Message par florian26 » 30 mai 2012, 16:52

Code : Tout sélectionner

#!/bin/sh
# firewall

case "$1" in
start)

# ---
# Clear rules

# Vider les tables actuelles
iptables -t filter -F

# Vider lesegles personnelles
iptables -t filter -X

echo - Clear rules : [OK]

# ---
# Block all connections by default
# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Block all connections : [OK]

# ---
# Don't break established connections
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Established connections : [OK]

# ---
# Loopback
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUPUT -o lo -j ACCEPT
echo - Loopback : [OK]

# ---
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Ping : [OK]

# ---
# SSH

# SSH In
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

echo - SSH : [OK]

# ---
# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
echo - DNS : [OK]

# ---
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

echo - HTTP/HTTPS : [OK]

# ---
# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

# FTP In
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - FTP : [OK]

# ---
# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
echo - Mail SMTP : [OK]

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
echo - Mail POP3 : [OK]

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Mail IMAP : [OK]

# ---
# Kloxo
iptables -t filter -A INPUT -p tcp --dport 7777:7778 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 7777:7778 -j ACCEPT
echo - Kloxo : [OK]

# SYN-Flood Protection
iptables -N syn-flood
iptables -A syn-flood -m limite --limit 10/second --limite-burst 50 -j RETURN
iptables -A syn-flood -j LOG --log-prefix "SYN FLOOD: "
iptables -A syn-flood -j DROP
echo - SYN-Flood Protection : [OK]

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# WHOIS Out
iptables -t filter -A OUTPUT -p tcp --dport 43 -j ACCEPT
echo - WHOIS : [OK]

# ---
echo - Firewall [OK]
exit 0
;;

stop)
echo "Stopping Firewall..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t filter -F
echo "Firewall Stopped!"
exit 0
;;

restart)
/etc/init.d/firewall stop
/etc/init.d/firewall start
;;

*)
echo "Usage : /etc/init.d/firewall {start|stop|restart}"
exit 1
;;
esac
Après lancement :
Image

Franchement... là j'ai aucune idée de ces soucis :/

Avatar de l’utilisateur
Heldwin
Messages : 440
Inscription : 20 octobre 2009, 10:11
Localisation : Unknown

Re: iptables

Message par Heldwin » 01 juin 2012, 02:33

Bonjour,

iptables 1.4.14 ?? Ca sort d'où cette version sous centos 5 ?
Quelle version de centos 5 utilises-tu exactement ?

Sous 5.8, c'est la version 1.3.5-9.1.
Si tu utilises une version modifiée de centos, il faudra aller poser tes questions dans le forum de ceux qui ont modifié centos.

J'ai testé le script sur 5.8 et il ne me met pas les erreurs que tu rencontres.
Je ne compte pas installer Kloxo.

Comment as-tu recopié le script firewall ?
(avec un copier/coller de firefox vers vi, je n'ai pas eu de problème)

Tu peux contrôler ton fichier avec ce petit code python à copier/coller dans checkfile.py par exemple:

Code : Tout sélectionner

for line in file("/etc/init.d/firewall"):
          print repr(line)
que tu exécuteras ainsi, depuis le dossier dans lequel tu l'as créé:

Code : Tout sélectionner

python checkfile.py
Chaque ligne doit commencer par: ' , et finir par: \n'
Tu peux poster le retour si tu n'es pas sûr.

Tu sembles aussi avoir modifié le script d'origine, donc tu as peut-être fait une erreur de modification.

florian26
Messages : 5
Inscription : 30 mai 2012, 15:02

Re: iptables

Message par florian26 » 01 juin 2012, 10:34

Bonjour,

Non, je n'ai rien modifié, j'ai loin de là ces compétences ^^. J'ai réinstallé Centos 5 64b, et je n'ai pas pu installer iptables 1.4.14 cette fois :| ... c'est à rien n'y comprendre.

Pour les iptables, j'utilise nano pour éditer. J'ai fait : nano /etc/init.d/firewall et j'ai recopié à ma sauce (suppression de ports) ce qu'on me donnait.

Le code python donné permet de faire quoi exactement?

Cordialement,
Florian

Avatar de l’utilisateur
Heldwin
Messages : 440
Inscription : 20 octobre 2009, 10:11
Localisation : Unknown

Re: iptables

Message par Heldwin » 02 juin 2012, 22:26

florian26 a écrit :Le code python donné permet de faire quoi exactement?
Ca retourne dans le terminal le même fichier, mais avec tous les caractères visibles (fins de ligne, tabulations, etc.). Ca permet de voir si le fichier est correct.

florian26
Messages : 5
Inscription : 30 mai 2012, 15:02

Re: iptables

Message par florian26 » 02 juin 2012, 23:18

Ok. Par contre, j'ai toujours ce problème avec :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

j'ai une erreur à chaque fois :
iptables: Unknown error 18446744073709551615

je ne vois vraiment pas le soucis !
j'ai iptables 1.3.5

Avatar de l’utilisateur
Heldwin
Messages : 440
Inscription : 20 octobre 2009, 10:11
Localisation : Unknown

Re: iptables

Message par Heldwin » 03 juin 2012, 00:41

la commande est correcte.

Je pencherais vers un problème de média d'installation.
Tu l'as téléchargé comment ? torrent ou iso ?
As-tu contrôlé l'ISO si tu l'as pris en ISO ?

J'ai tendance à le prendre en torrent, et à le graver à la vitesse la plus lente.

florian26
Messages : 5
Inscription : 30 mai 2012, 15:02

Re: iptables

Message par florian26 » 03 juin 2012, 01:49

Ok. Installation de quoi? ^^
Allons y doucement... j'y connais rien à tout ce qui est serveur, linux et compagnie. ISO par contre je connais... donc excepté si tu parles de l'installation du Centos en ISO, il n'y a pas eu d'iso, si tu parles de Centos... alors j'en sais rien, c'est une installation automatique (on le choisit dans OpenVZ)

Verrouillé