petites questions : comment a tu scanné tes ports?
depuis une adresse local ou publique?
depuis une adresse local ou publique?
iptables
Bonjour
J'ai effectué mon scan de port sur le site de zebulon,sans faire exprès j'ai du modifier le fichier ipatbles philippe83 je te rassure je suis pas parano :Lollll je suis complétement d'accord par rapport output restrictif et totalement incohérent..Je suis pas derrière un routeur je cherchais a savoir comment masqués la totalité port.
J'ai effectué mon scan de port sur le site de zebulon,sans faire exprès j'ai du modifier le fichier ipatbles philippe83 je te rassure je suis pas parano :Lollll je suis complétement d'accord par rapport output restrictif et totalement incohérent..Je suis pas derrière un routeur je cherchais a savoir comment masqués la totalité port.
Si tu dois te faire des règles utilises directement ta box. Perso. Je pense comme philippe, les résultat de ton scan proviennent simplement de ta box et non pas d'iptable.
encore merci,j'ai encore une petite question avez-vous des liens pour configurater iptables je cherche des scripts exemple iptables
merci davance
merci davance
- Modifié
Il n'y a pas de généralité.
Dis nous comment tu es configuré (si tu es routeur, quels services veux tu mettre à dispositions sur le net) et on pourra savoir quoi te dire.
le plus simple étant:
Dis nous comment tu es configuré (si tu es routeur, quels services veux tu mettre à dispositions sur le net) et on pourra savoir quoi te dire.
le plus simple étant:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -J ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
Tu as un exemple de pti-seb ici sinon tu as toujours le system-config-firewall
- Modifié
Bonjour,
J'ai envie de faire un server web ( Apache,phpMysql...) +un server messagerie+L'accès à distance par SSH.
J'ai aussi réactiver mon routeur FAI.
😉
J'ai envie de faire un server web ( Apache,phpMysql...) +un server messagerie+L'accès à distance par SSH.
J'ai aussi réactiver mon routeur FAI.
😉
- Modifié
Hormis le fait que c'est formellement déconseillé de faire ceci sur une machine personnelle, mais si tu persistes il faut ouvrir les ports: 80,25,110,22 (http,smtp,pop3,ssh).wrestlemania wrote:Bonjour,
J'ai envie de faire un server web ( Apache,phpMysql...) +un server messagerie+L'accès à distance par SSH.
J'ai aussi réactiver mon routeur FAI.
😉
donc il faut ajouter à ce que je t'ai donné comme script minimal:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
etc etc etc..Mais je te préviens, tu vas au devant de gros problèmes.
Héberger des services n'est pas un domaine d'amateurs.
Enfin, c'est toi qui décides...
Cordialement.
J'ai actuellement 3 pc chez moi je voudrais juste faire un petit server sur mon vieux pc, il doit commencer par quoi le script iptables?
- Modifié
@wrestlemania:
par
Avec tout ce qu'on t'a écrit ?
Si tu n'es pas apte à faire un script après tout ce qu'on t'a dit pendant cette discussion, laisse tomber l'hébergement, tu es trop amateur (et ce n'est pas un reproche.. mais un conseil).
@fedman:
pourquoi ? nmap ne fonctionne pas chez toi ? :-P
par
Trêve de plaisanterie... tu penses pas que tu exagères un petit peu ?#!/bin/bash
Avec tout ce qu'on t'a écrit ?
Si tu n'es pas apte à faire un script après tout ce qu'on t'a dit pendant cette discussion, laisse tomber l'hébergement, tu es trop amateur (et ce n'est pas un reproche.. mais un conseil).
@fedman:
pourquoi ? nmap ne fonctionne pas chez toi ? :-P
Je n'avais pas vu le message de TitaX merci TitaX pour les liens 😉 bizzar mon fichier iptables que se trouve /etc/sysconfig/iptables mon script ne commence par #!/bin/bash ?:-?
normal... ce n'est pas un script mais un fichier de config.
Cordialement.
Cordialement.
ok merci philippe83 et t'il possible de convertir fichier de config en script?
Il vaut mieux tout réécrire.
Prends les quatres lignes que je t'ai données, rajoutes simplement les lignes permettant d'ouvrir les ports que je t'ai aussi données.
ou alors tu écris une seule ligne (plus difficile à comprendre et utilisant un mode):
C'est pas si compliqué..
Le fichier de config va être automatiquement créé lorsque tu rentreras la commande:
service iptables save
Et je répète que au vu de ta méconnaissance du fonctionnement de ton système (et encore une fois ce n'est pas un reproche) tu es en train d'aller droit au carton en essayant d'héberger des services.
Etre hébergeur ne s'improvise pas, n'oublies pas que tu vas devoir faire en sorte de sécuriser tout tes services (et pas par iptables, mais par leur fichier de config).
-Appliquer les patchs au fur et à mesure, savoir en analyser les conséquences et prévoir les possibles régressions.
-Optimiser ton système pour qu'il réponde mieux (services et OS).
Le non respect de ces règles de bases entrainera tôt ou tard une attaque réussie, et pourquoi pas un 'adieu système chéri'.
Et ne me dis pas que tu ne comptes pas donner l'adresse à beaucoup de monde, ça n'arrête pas les scriptkiddies qui vont trouver ta machine rapidement tout simplement en scannant des adresses.
De plus tu vas:
-Bouffer ta bande passante montante qui est toujours plus faible que la descendante, et une saturation ( rapide si tu as, ne serait ce que peu, quelques connexions simultanées) entrainera l'impossibilité d'utiliser internet pour autre chose.
- Mettre en place un système de sauvegarde efficace.
- Consommer de l'électricité
- Produire du bruit.
Ce sera donc mon dernier avertissement: Héberger, c'est un métier, pas une partie de rigolade, tenter la chose, c'est bien, 'c'est moi qui l'ai fait', mais la mise en réelle production ne s'improvise pas, et je te déconseille très fortement de le faire.
Cordialement
Prends les quatres lignes que je t'ai données, rajoutes simplement les lignes permettant d'ouvrir les ports que je t'ai aussi données.
ou alors tu écris une seule ligne (plus difficile à comprendre et utilisant un mode):
et ton script est terminé..iptables -A INPUT -p tcp -m multiport --dports 22,25,80,110 -j ACCEPT
C'est pas si compliqué..
Le fichier de config va être automatiquement créé lorsque tu rentreras la commande:
service iptables save
Et je répète que au vu de ta méconnaissance du fonctionnement de ton système (et encore une fois ce n'est pas un reproche) tu es en train d'aller droit au carton en essayant d'héberger des services.
Etre hébergeur ne s'improvise pas, n'oublies pas que tu vas devoir faire en sorte de sécuriser tout tes services (et pas par iptables, mais par leur fichier de config).
-Appliquer les patchs au fur et à mesure, savoir en analyser les conséquences et prévoir les possibles régressions.
-Optimiser ton système pour qu'il réponde mieux (services et OS).
Le non respect de ces règles de bases entrainera tôt ou tard une attaque réussie, et pourquoi pas un 'adieu système chéri'.
Et ne me dis pas que tu ne comptes pas donner l'adresse à beaucoup de monde, ça n'arrête pas les scriptkiddies qui vont trouver ta machine rapidement tout simplement en scannant des adresses.
De plus tu vas:
-Bouffer ta bande passante montante qui est toujours plus faible que la descendante, et une saturation ( rapide si tu as, ne serait ce que peu, quelques connexions simultanées) entrainera l'impossibilité d'utiliser internet pour autre chose.
- Mettre en place un système de sauvegarde efficace.
- Consommer de l'électricité
- Produire du bruit.
Ce sera donc mon dernier avertissement: Héberger, c'est un métier, pas une partie de rigolade, tenter la chose, c'est bien, 'c'est moi qui l'ai fait', mais la mise en réelle production ne s'improvise pas, et je te déconseille très fortement de le faire.
Cordialement
Pour l'histoire de l'herbergement bien sur que oui je ferais un petit hebergement quand j'aurais acquis plus d'experience sur linux pour le momment j'essaye d'apprendre linux.
Cordialement
Cordialement
Si je me trouve reprend moi normalement je peux executer mon script avec les commandes suivante
cd /root
wget http://site.fr/shell/script-iptables
chmod 700 script-iptables
echo "/root/script-iptables" >> /etc/rc.local
cd /root
wget http://site.fr/shell/script-iptables
chmod 700 script-iptables
echo "/root/script-iptables" >> /etc/rc.local
- Modifié
Bon...
voici le script complet, tu peux toujours l'arranger à ta sauce, mais celui-ci suffit à arrêter toute intrusion indésirable sur d'autres ports que ceux que tu désires.
J'ai juste rajouté une ligne qui permet le log si tu as une tentative d'intrusion.
tu tapes :
chmod +x script_firewall
Ensuite tu passes en root (su -)
et tu l'exécute .
Tu n'as pas besoin de faire autre chose.
La dernière ligne sauvegardera ta config et elle sera automatiquement appliquée au démarrage (à condition bien sûr que tu ais le service iptables en start dans ton /etc/rc(x).c, x étant ton runlevel, par défaut c'est 5, c'est à dire qu'il commence par un S, par exemple S10iptables)
Cordialement.
voici le script complet, tu peux toujours l'arranger à ta sauce, mais celui-ci suffit à arrêter toute intrusion indésirable sur d'autres ports que ceux que tu désires.
J'ai juste rajouté une ligne qui permet le log si tu as une tentative d'intrusion.
#!/bin/bash
service iptables stop
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -J ACCEPT
/sbin/iptables -A INPUT -p tcp -m multiport --dports 22,25,80,110 -j ACCEPT
/sbin/iptables -A INPUT -j LOG --log-prefix '[TENTATIVE_INTRUSION]:'
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P INPUT DROP
service iptables savetu tapes :
chmod +x script_firewall
Ensuite tu passes en root (su -)
et tu l'exécute .
Tu n'as pas besoin de faire autre chose.
La dernière ligne sauvegardera ta config et elle sera automatiquement appliquée au démarrage (à condition bien sûr que tu ais le service iptables en start dans ton /etc/rc(x).c, x étant ton runlevel, par défaut c'est 5, c'est à dire qu'il commence par un S, par exemple S10iptables)
Cordialement.
Bonjour,
J'ai suivi scrupulesement tes instructions,J'ai un petit problème quand j'ai rajouté les nouvelles régles iptable il m'affiche toujour les anciennes régle iptables
Cordialement
J'ai suivi scrupulesement tes instructions,J'ai un petit problème quand j'ai rajouté les nouvelles régles iptable il m'affiche toujour les anciennes régle iptables
Cordialement
- Modifié
"service iptables stop" n'est pas passé.
C'est lui qui remet les règles à zéro .
essaies de le taper simplement en ligne de commande avant de lancer le script
Et après exécution tapes aussi
"service iptables save"
ou alors tu peux essayer de mettre le chemin absolu de "service".
ça donnerait ceci dans le script:
C'est lui qui remet les règles à zéro .
essaies de le taper simplement en ligne de commande avant de lancer le script
Et après exécution tapes aussi
"service iptables save"
ou alors tu peux essayer de mettre le chemin absolu de "service".
ça donnerait ceci dans le script:
/sbin/service iptables stop
(...)
/sbin/service iptables save