IPTABLES, tout bloquer sauf 80 et ssh

[Gothic_Ted]

Bonsoir à tous,

 

Je vous expose la "chose":

Je voudrai, sur un serveur web, avec iptables, tout bloquer sauf le 80 dans les deux sens, et le ssh (22 je crois) dans les deux sens également.

 

J’ai cherché un peu, mais j'ai jamais touché iptables, donc je suis un peu perdu dans tout ça...

 

J’ai trouvé ça:

 

#!/bin/sh

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F

/sbin/iptables -A INPUT -i lo -j ACCEPT

#autorise l'acces au port suivant

#port http - ssh
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# bloquer tout le reste
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -P INPUT DROP

 

Mais pour moi c'est un langage bien barbare lol.

Si quelqu'un pourrai me traduire tout ça

 

Amicalement.

[256JMAN]

j'ai configuré mon routeur avec le manuel de gentoo http://www.gentoo.org/doc/fr/home-router-howto.xml .

il y a un exemple mieux commenté pour le script du firewall ... mais le tiens a l'air de faire ce que tu veux (vaut peut etre mieux attendre l'avis de Greywolf ... ^_^)

pour le port pour ssh je te conseil de changer de port (le 22 c'est griller quoi ) moi je préfère l'ouvrir quand j'en ai besoin

si tu ne sais pas comment changer de port => http://doc.pascalex.net/index.php/Changer_le_port_ssh ca devrait le faire

Modifié le 5 mai 2008 par 256JMAN

[Gothic_Ted]

merci bcp 256JMAN, je vais potasser tout ça

mais vu la journée que je viens d'avoir je verrai ça demain, il fera jour ^^

 

et comme tu le dis si bien, j'attends l'avis de Greywolf si il passe par ici

 

EDIT: si quelqu'un a egalement un avis sur la question, je suis preneur

Modifié le 6 mai 2008 par Gothic_Ted

[Gothic_Ted]

non ? pas d'avis supplémentaire ?

[mediaforest]

Si la syntaxe des règles iptables te pose un problème, je te conseille d'utiliser le module Linux Firewall de Webmin, ça aide bien au début

[Greywolf]

c'est pas mauvais

 

#!/bin/sh

#vidage des règles préexistantes
/sbin/iptables -F
/sbin/iptables -X //inutile car pas de tables utilisateurs définies, peut être cependant laissé
/sbin/iptables -F //redondant

#On accepte les connexions entrantes sur la boucle locale
/sbin/iptables -A INPUT -i lo -j ACCEPT

#définition des politiques par défaut
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP

#On accepte les connexions etablies (pas la peine d'attendre la fin du script)
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT

#autorise l'acces au port suivant

#port http - ssh
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

[Poun64]

Bonsoir toul'monde

 

Je vois que comme moi t'utilises Ubuntu... t'as pas pensé à "Firestarter" ?

Je trouve que cette interface graphique pour configurer ton parefeu, est facile à utiliser.

 

Modifié le 15 mai 2008 par Poun64