iptable serveur web

franki
Messages : 1
Inscription : 04 septembre 2012, 15:42

iptable serveur web

Message par franki » 04 septembre 2012, 15:57

Bonjour, suite à l'installation d'un nouveau serveur, j'aimerais quelques renseignement au sujet d'iptables.... j'ai vu çà en formation mais c'est ma première fois que je l'utilise en production (centos 6.3).

Le problème c'est que je ne suis pas sur de ma config car j'ai l'impression qu'une règle laisse tout passer :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -->> celle ci, censée empêcher ne pas casser les connexions etablies.

voici toujours ma config actuelle en test :

#!/bin/bash

####Règles iptableS2####
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

####drop all####
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT


####connection entrante-http+ssh####
iptables -A INPUT -p tcp -s 172.20.5.0/24 --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <--- par sur de celle-ci
iptables -A INPUT -p tcp -m --dport 22 -j ACCEPT

# ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

####ICMP (Ping)####
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

Le but est d'accepter les requêtes en HTTP seulement pour le sous reseau 172.20.5.0/24 mais pas le reste (nous avons un autre sous-reseau)
ainsi que les requête http qui viennent de l'exterieure....
Pour info j'ai activer le forward ( echo 1 > /proc/sys/net/ipv4/ip_forward )

Qu'en pensez-vous ?

Merci pour vos réponses :)

Répondre