Bonjour,

Après avoir fait un scan des ports afin de tester la sécurité de mon pc il me trouve 18 ports tcp fermés ( 22,25,79,110,113,119,139,143,389,443,1002,1004,1024,1025,1027,1028,1029,1030) il me trouve aussi Ports TCP masqués ( 21,23,80,135,445,1720,5000).Je voudrais savoir comment masqués la totalité des ports?,ton mon iptables (/etc/sysconfig/iptables) voila la régles que j'ai

[c]# Generated by iptables-save v1.3.5 on Sat Mar 22 06:37:07 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
😮UTPUT DROP [0:0]
:LOG_DROP - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -j LOG_DROP
-A FORWARD -j LOG_DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 119 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 636 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 1863 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 5222 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 6881:6889 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG_DROP
-A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP]:" --log-level 1
-A LOG_DROP -j DROP
COMMIT
# Completed on Sat Mar 22 06:37:07 2008
# Generated by iptables-save v1.3.5 on Sat Mar 22 06:37:07 2008
*nat
😛REROUTING ACCEPT [3:984]
😛OSTROUTING ACCEPT [5:407]
😮UTPUT ACCEPT [46:8889]
-A POSTROUTING -s 192.168.122.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -s 192.168.122.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Sat Mar 22 06:37:07 2008
[/c]
Rien..
Tu dois certainement voir les ports de ton routeur.

Et permet moi de te dire que tu es un peu parano 🙂 (output restrictif et totalement incohérent...) Allez, laisses ta machine aller où elle veut. Les spywares/troyans ne sont pas légion sous linux, et même si par un infime hasard tu en attrapes un, les ports que tu as ouverts les laisseront discuter.

De plus, à quoi servent les nat ? tu as d'autres machines derrière qui accèdent à internet via ta box linux ?

petites remarques:
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
Tu as un autre réseau (en plus que celui hypothétique sur lequel tu nat ?), et qui peut utiliser les ressources de ta machine ? (pas pour le routage) sinon cette règle est inutile.
-A INPUT -p icmp -j DROP
ne sert strictement à rien vu que tu as mis ta règle par défaut à DROP, à moins que tu ne veuilles pas logger les paquets ICMP (???).

Cordialement.
petites questions : comment a tu scanné tes ports?
depuis une adresse local ou publique?
Bonjour

J'ai effectué mon scan de port sur le site de zebulon,sans faire exprès j'ai du modifier le fichier ipatbles philippe83 je te rassure je suis pas parano :Lollll je suis complétement d'accord par rapport output restrictif et totalement incohérent..Je suis pas derrière un routeur je cherchais a savoir comment masqués la totalité port.
Si tu dois te faire des règles utilises directement ta box. Perso. Je pense comme philippe, les résultat de ton scan proviennent simplement de ta box et non pas d'iptable.
encore merci,j'ai encore une petite question avez-vous des liens pour configurater iptables je cherche des scripts exemple iptables


merci davance
Il n'y a pas de généralité.
Dis nous comment tu es configuré (si tu es routeur, quels services veux tu mettre à dispositions sur le net) et on pourra savoir quoi te dire.

le plus simple étant: 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -J ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
Cordialement.
Bonjour,

J'ai envie de faire un server web ( Apache,phpMysql...) +un server messagerie+L'accès à distance par SSH.
J'ai aussi réactiver mon routeur FAI.


😉
wrestlemania wrote:Bonjour,

J'ai envie de faire un server web ( Apache,phpMysql...) +un server messagerie+L'accès à distance par SSH.
J'ai aussi réactiver mon routeur FAI.


😉
Hormis le fait que c'est formellement déconseillé de faire ceci sur une machine personnelle, mais si tu persistes il faut ouvrir les ports: 80,25,110,22 (http,smtp,pop3,ssh).
donc il faut ajouter à ce que je t'ai donné comme script minimal: 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
etc etc etc..
mysql ne nécessite rien de particulier puisqu'on accède à la machine en localhost si tu mets des scripts PHP sur la même machine.

Mais je te préviens, tu vas au devant de gros problèmes.
Héberger des services n'est pas un domaine d'amateurs.

Enfin, c'est toi qui décides...

Cordialement.
J'ai actuellement 3 pc chez moi je voudrais juste faire un petit server sur mon vieux pc, il doit commencer par quoi le script iptables?
@wrestlemania:
par
#!/bin/bash
Trêve de plaisanterie... tu penses pas que tu exagères un petit peu ?
Avec tout ce qu'on t'a écrit ?
Si tu n'es pas apte à faire un script après tout ce qu'on t'a dit pendant cette discussion, laisse tomber l'hébergement, tu es trop amateur (et ce n'est pas un reproche.. mais un conseil).

@fedman:
pourquoi ? nmap ne fonctionne pas chez toi ? :-P
Je n'avais pas vu le message de TitaX merci TitaX pour les liens 😉 bizzar mon fichier iptables que se trouve /etc/sysconfig/iptables mon script ne commence par #!/bin/bash ?:-?
normal... ce n'est pas un script mais un fichier de config.

Cordialement.
ok merci philippe83 et t'il possible de convertir fichier de config en script?
Il vaut mieux tout réécrire.

Prends les quatres lignes que je t'ai données, rajoutes simplement les lignes permettant d'ouvrir les ports que je t'ai aussi données.
ou alors tu écris une seule ligne (plus difficile à comprendre et utilisant un mode):
iptables -A INPUT -p tcp -m multiport --dports 22,25,80,110 -j ACCEPT
et ton script est terminé..
C'est pas si compliqué..
Le fichier de config va être automatiquement créé lorsque tu rentreras la commande:
service iptables save

Et je répète que au vu de ta méconnaissance du fonctionnement de ton système (et encore une fois ce n'est pas un reproche) tu es en train d'aller droit au carton en essayant d'héberger des services.
Etre hébergeur ne s'improvise pas, n'oublies pas que tu vas devoir faire en sorte de sécuriser tout tes services (et pas par iptables, mais par leur fichier de config).
-Appliquer les patchs au fur et à mesure, savoir en analyser les conséquences et prévoir les possibles régressions.
-Optimiser ton système pour qu'il réponde mieux (services et OS).
Le non respect de ces règles de bases entrainera tôt ou tard une attaque réussie, et pourquoi pas un 'adieu système chéri'.
Et ne me dis pas que tu ne comptes pas donner l'adresse à beaucoup de monde, ça n'arrête pas les scriptkiddies qui vont trouver ta machine rapidement tout simplement en scannant des adresses.
De plus tu vas:
-Bouffer ta bande passante montante qui est toujours plus faible que la descendante, et une saturation ( rapide si tu as, ne serait ce que peu, quelques connexions simultanées) entrainera l'impossibilité d'utiliser internet pour autre chose.
- Mettre en place un système de sauvegarde efficace.
- Consommer de l'électricité
- Produire du bruit.

Ce sera donc mon dernier avertissement: Héberger, c'est un métier, pas une partie de rigolade, tenter la chose, c'est bien, 'c'est moi qui l'ai fait', mais la mise en réelle production ne s'improvise pas, et je te déconseille très fortement de le faire.

Cordialement
Pour l'histoire de l'herbergement bien sur que oui je ferais un petit hebergement quand j'aurais acquis plus d'experience sur linux pour le momment j'essaye d'apprendre linux.


Cordialement
Bon...
voici le script complet, tu peux toujours l'arranger à ta sauce, mais celui-ci suffit à arrêter toute intrusion indésirable sur d'autres ports que ceux que tu désires.
J'ai juste rajouté une ligne qui permet le log si tu as une tentative d'intrusion. 
#!/bin/bash
service iptables stop
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -J ACCEPT
/sbin/iptables -A INPUT -p tcp -m multiport --dports 22,25,80,110 -j ACCEPT
/sbin/iptables -A INPUT -j LOG --log-prefix '[TENTATIVE_INTRUSION]:'
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P INPUT DROP
service iptables save
Tu écris ceci dans un fichier quelconque , par exemple script_firewall
tu tapes :
chmod +x script_firewall
Ensuite tu passes en root (su -)
et tu l'exécute .
Tu n'as pas besoin de faire autre chose.
La dernière ligne sauvegardera ta config et elle sera automatiquement appliquée au démarrage (à condition bien sûr que tu ais le service iptables en start dans ton /etc/rc(x).c, x étant ton runlevel, par défaut c'est 5, c'est à dire qu'il commence par un S, par exemple S10iptables)

Cordialement.