- Accueil
- » Forum
- » Sécurité
- » Script iptables
Pages : 1
#1 Le 04/03/2020, à 18:40
- sebastien31
Script iptables
Bonjour à tous.
Je le permet d'ouvrir cette discution car je souhaite réaliser un script iptables.
Dans ma réalisation je souhaite bloquer le trafic et accepter uniquement les ports pour apache 443, ssh, smtp.
Mon problème est que après avoir bloqués le trafic même si j ouvre des ports ça ne fonctionne fonctionne pas.
Merci de votre aide.
Amicalement.
Sébastien
Hors ligne
#2 Le 05/03/2020, à 10:43
- bruno
Re : Script iptables
Bonjour,
Sans voir le script en question il est impossible de té répondre.
#3 Le 06/03/2020, à 19:10
- sebastien31
Re : Script iptables
Bonsoir,
Bruno, oui avec le code c'est mieu.
C'est un script que j'ai trouver sur internet.
#!/bin/bash
iptables-restore < /etc/iptables.test.rules
## Script iptables by BeAvEr.
## Règles iptables.
## On flush iptables.
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
## On drop les requêtes ICMP (votre machine ne répondra plus aux requêtes ping sur votre réseau local).
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
## On récupère notre adresse internet. À utiliser seulement si vous êtes derrière un réseau local.
export ip=$(/sbin/ip addr | grep 'state UP' -A2 | tail -n1 | awk '{print $2}' | cut -f1 -d'/')
## Allow Samba.
iptables -t raw -A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns
## Allow Avahi-daemon (seulement notre LAN. Si vous n'avez pas de LAN, supprimer la partie --source $ip/24).
iptables -A INPUT -p udp -m udp --source $ip/24 --dport 5353 -j ACCEPT
iptables -A INPUT -p udp -m udp --source $ip/24 --dport 427 -j ACCEPT
## On accepte le Multicast.
iptables -A INPUT -m pkttype --pkt-type multicast -j ACCEPT
## On drop tout le trafic entrant.
iptables -P INPUT DROP
## On drop tout le trafic sortant.
iptables -P OUTPUT DROP
## On drop le forward.
iptables -P FORWARD DROP
## On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
## Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
## Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT
## On accepte la boucle locale en entrée.
iptables -I INPUT -i lo -j ACCEPT
## On log les paquets en entrée.
iptables -A INPUT -j LOG
## On log les paquets forward.
iptables -A FORWARD -j LOG
# web
iptables -A INPUT -p tcp --tcp-flags 80 -j DROP
iptables -A OUTPUT -p tcp --tcp-flags 80 -j DROP
iptables -A INPUT -p tcp --tcp-flags 443 -j DROP
iptables -A OUTPUT -p tcp --tcp-flags 443 -j DROP
exit 0bonne soirée.
Merci d'avance.
Sébastien
Hors ligne
#4 Le 06/03/2020, à 22:38
- Zakhar
Re : Script iptables
Seriously... avec un commentaire "Web"
iptables -A INPUT -p tcp --tcp-flags 80 -j DROP
iptables -A OUTPUT -p tcp --tcp-flags 80 -j DROPTu m'étonnes que ça marche pas ! 
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#5 Le 07/03/2020, à 09:21
- bruno
Re : Script iptables
Effectivement ton script ne peut pas fonctionner. De manière générale il vaut mieux éviter de prendre n'importe quel script trouvé sur le web sans comprendre exactement son fonctionnement.
De toute façon le pare-feu est généralement inutile. Je rappelle que le noyau ne traite que les paquets à destination d'un port pour lequel un service est en écoute sur la machine. Un pare-feu qui bloque tout le trafic entrant sauf à destination des ports correspondant a des services actifs ou aucun pare-feu c'est pareil.
Si tu veux absolument configurer un pare-feu regarde la doc ufw ou iptables.
Pages : 1