Problème avec iptables

bagou450 · Le 16/04/2021, à 14:01

Bonjour,

j'aii bloquer des ips avec iptables avec la commande
-A INPUT -s (ip) -j DROP
mais après ceci je me rend compte que l ip bloquer arrive encore a envoyer des requêtes udp au serveur

Dernière modification par bruno (Le 17/04/2021, à 07:22)

iznobe · Le 16/04/2021, à 15:20

Bonjour , et elle ne sont pas droppées ?

precise dans ta regle dans ce cas , les protocoles que tu veux qu 'elle gere , a verifier peut etre en ajoutant l' option :

 -p tcp,udp

Dernière modification par iznobe (Le 16/04/2021, à 15:21)

fredr · Le 16/04/2021, à 16:33

Hello,

Tu es sur de tes autres règles? avec -A tu ajoutes en dernier et si une règle contradictoire se trouve avant, elle prendra la "main".

As tu essayé avec un -I qui insère la règle en premier?

Fred

bagou450 · Le 16/04/2021, à 19:51

Je vais essayer avec un -p.

Concernant la priorité les ip que je drop sont belle et bien avant les autres regles

Edit : avec ceci dans iptables "-A INPUT -s 185.88.179.197/32 -p udp -j DROP" (cette ligne vient d un fichier donnée par iptables-save)

et après avoir appliquer les règles (iptables-apply)

https://i.ibb.co/bWx5D55/Capture.png

Il y a encore des requêtes venant ce cette ip

_{Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images.}

Dernière modification par cqfd93 (Le 16/04/2021, à 21:04)

jplemoine · Le 16/04/2021, à 20:33

Je vais peut-être dire des bêtises mais la règle input, ce n'est que pour les requêtes entrantes.
Il faudrait peut-être ajouter une règle OUTPUT et/ou FORWARD. Ceci voudrait dire que la requête est une réponse à une précédente requête sortante.
Et mettre une règle de type LOG pour essayer de savoir quel processus émet éventuellement vers cette adresse.

bagou450 · Le 16/04/2021, à 20:41

je vais test avec output et forward en plus

pour le processus c est simple c est un ddos.

meme probleme avec du forward du input et du output

Vous voulez le fichier contenant mes regles iptables?

Dernière modification par bagou450 (Le 16/04/2021, à 20:51)

fredr · Le 16/04/2021, à 21:20

Question bête ta règle par défaut est bien en drop?
iptables -F INPUT
iptables -P INPUT DROP

Sinon ta ligne a l'air bonne mais le /32 me semble inutile.

Edit: oui je veux bien le fichier des règles

Dernière modification par fredr (Le 16/04/2021, à 21:23)

bagou450 · Le 16/04/2021, à 21:25

je vous envoie ca dans 2min

Pour le /32 quand je fait la commande il n'y ai pas mais iptables le mets automatiquement dans son fichier de regle

edit : je vous previiens par contre il y a BEAUCOUP de regles

https://plik.root.gg/file/7BGRiTztKMrPk … S/test.txt

Dernière modification par bagou450 (Le 16/04/2021, à 21:32)

fredr · Le 16/04/2021, à 21:34

Tu sais donner le retour de iptables -L?

bagou450 · Le 16/04/2021, à 21:53

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  node-x1.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-24i.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-50w.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-4y1.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-8fl.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-enr.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-fwa.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-gcz.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-gh7.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-h0e.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-hei.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-j2y.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-lhw.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-p12.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-p4v.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-20g.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-20h.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i9y.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-iau.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i6w.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i70.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i76.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i79.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-isd.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  1.1.8.8              anywhere
DROP       all  --  node-2nq.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2ql.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2qm.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2mg.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-7xt.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-al4.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-atk.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-khk.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  1-160-15-80.dynamic-ip.hinet.net  anywhere
DROP       all  --  1-164-238-215.dynamic-ip.hinet.net  anywhere
DROP       all  --  1-168-57-35.dynamic-ip.hinet.net  anywhere
DROP       all  --  1.179.148.61         anywhere
DROP       all  --  1.179.158.173        anywhere
DROP       all  --  1.179.175.130        anywhere
DROP       all  --  1.179.209.157        anywhere
DROP       all  --  1.179.209.81         anywhere
DROP       all  --  1.186.249.41.dvois.com  anywhere
DROP       all  --  node-6lk.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-dqt.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-e5o.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-ffr.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-gpl.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-h7f.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-ipm.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-mxr.pool-1-2.dynamic.totinternet.nChain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  node-x1.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-24i.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-50w.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-4y1.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-8fl.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-enr.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-fwa.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-gcz.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-gh7.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-h0e.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-hei.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-j2y.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-lhw.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-p12.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-p4v.pool-1-0.dynamic.totinternet.net  anywhere
DROP       all  --  node-20g.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-20h.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i9y.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-iau.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i6w.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i70.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i76.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-i79.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  node-isd.pool-1-1.dynamic.totinternet.net  anywhere
DROP       all  --  1.1.8.8              anywhere
DROP       all  --  node-2nq.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2ql.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2qm.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-2mg.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-7xt.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-al4.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-atk.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  node-khk.pool-1-10.dynamic.totinternet.net  anywhere
DROP       all  --  1-160-15-80.dynamic-ip.hinet.net  anywhere
DROP       all  --  1-164-238-215.dynamic-ip.hinet.net  anywhere
DROP       all  --  1-168-57-35.dynamic-ip.hinet.net  anywhere
DROP       all  --  1.179.148.61         anywhere
DROP       all  --  1.179.158.173        anywhere
DROP       all  --  1.179.175.130        anywhere
DROP       all  --  1.179.209.157        anywhere
DROP       all  --  1.179.209.81         anywhere
DROP       all  --  1.186.249.41.dvois.com  anywhere
DROP       all  --  node-6lk.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-dqt.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-e5o.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-ffr.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-gpl.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-h7f.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-ipm.pool-1-2.dynamic.totinternet.net  anywhere
DROP       all  --  node-mxr.pool-1-2.dynamic.totinternet.n

et plus rien apres comme si il plantais

Ediit : A si il avance mais c est tres lent xd

Dernière modification par bagou450 (Le 16/04/2021, à 21:57)

jplemoine · Le 17/04/2021, à 00:25

C'est quoi l’intérêt de mettre toutes ces lignes de DROP ?

iznobe · Le 17/04/2021, à 06:31

Bonjour , l' approche n' est peut etre pas la bonne tout simplement .

Pour la chaine INPUT il faut mettre la police par defaut sur DROP , a faire a la fin surtout si vous passer par SSH qu il faut autoriser avant .
puis on ne gere l ' entrée que si on a besoin de laisser passer un service accessible de l' exterieur comme un site internet par exemple et surtout le SSH.
on ajoute une regle pour les conexions deja etablies et puis voilà .

Dernière modification par iznobe (Le 17/04/2021, à 07:27)

bruno · Le 17/04/2021, à 07:20

Modération : message égaré rapatrié, merci xubu1957
Titre corrigé et sujet déplacé dans la section « Sécurité » qui me semble plus appropriée.

fredr · Le 17/04/2021, à 09:17

Hello,

En effet; l'erreur est là:
Chain INPUT (policy ACCEPT)
Par défaut tu acceptes tout, il faut commencer ton script par:

iptables -F INPUT
iptables -P INPUT DROP

-F efface toutes les règles existantes et -P définit DROP par défaut.

Tu dois aussi mettre une règle apr défaut sur FORWARD et OUTPUT

Fred

bagou450 · Le 17/04/2021, à 09:28

Ok mais le problème dans ce cas c est que je doit autoriser les port un a un non?

hors j'ai besoin de beaucoup de port

fredr · Le 17/04/2021, à 09:31

iznobe a écrit :

Bonjour , l' approche n' est peut etre pas la bonne tout simplement .
Pour la chaine INPUT il faut mettre la police par defaut sur DROP , a faire a la fin surtout si vous passer par SSH qu il faut autoriser avant .
puis on ne gere l ' entrée que si on a besoin de laisser passer un service accessible de l' exterieur comme un site internet par exemple et surtout le SSH.
on ajoute une regle pour les connexions deja etablies et puis voilà .

En effet, il est beaucoup plus logique de bloquer tout en entrée et de n'autoriser que ce qu'on veut.

Voici un script minimaliste, qui bloque tout en entrée et en forward et autorise tout en sortie. Avec un accès SSH quand même.

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -I INPUT -s 127.0.0.1 -j ACCEPT

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -p TCP --dport 22 -m state --state NEW -j ACCEPT

Dernière modification par fredr (Le 17/04/2021, à 09:33)

bagou450 · Le 17/04/2021, à 10:02

Sauf que le problème c est que un ddos passe facilement meme avec ca
J'ai tenter de limiter le nombre de paquet udp a la seconde cela n'a pas marcher
et ducoup je me suis mis a bloquer les ips même si cela n est pas la meilleurs des solutions

fredr · Le 17/04/2021, à 10:23

Refais les tests en changeant la policy par défaut; avec un input accept tout ce que tu n'as pas interdit est automatiquement autorisé, ce n'est pas une bonne approche.

bagou450 · Le 17/04/2021, à 11:01

Oui mais comme je l ai dit
Imaginons que j ouvre le port 443 ou un autre port et que un mec me ddos sur ce port et ba iptables ne me protégeras pas

iznobe · Le 17/04/2021, à 11:45

Bonjour , tu n' as pas besoin d' ouvrir de port .

Seulement d ' autoriser les connexions related et establish .
la demande se ait par la vanne de sortie et le retour en entrée sera donc autorisé .

Quels services as tu besoin d' autoriser sur ta machine .

il y a des commandes qui permettent de faire plusieurs ports d' un coup si vraiment tu as d' inombrables services qui ont besoin d ' une demande externe que tu ne demandes pas en sortant de ta machine .

Par exemple si tu navigues sur internet tu n ' as pas besoin d' autoriser de port car tu demandes en sortant .
Si tu heberges un site internet , la demande vient de l' exterieur ( les clients qui veulent consulter ton site ) dans ce cas tu as besoin d ' ouvrir un port le 80 ou le 443 voire les 2 .

Dernière modification par iznobe (Le 17/04/2021, à 11:49)

bruno · Le 17/04/2021, à 11:46

Bonjour,

Tu ne pourras pas te protéger d'une attaque DDOS avec des règles iptables quoiqu'en disent les nombreux tutos plus ou moins foireux sur le web. Tu peux limiter le DOS mais pas le DDOS.

bagou450 a écrit :

un mec me ddos

Ce qui veut dire que le « mec » a à sa disposition un botnet avec des centaines, voire des milliers de machines, prête à envoyer des requêtes sur le port en question.

Si c'est un serveur dédié ou un VPS, tous les bons hébergeurs ont des mesures anti-DDOS sur leurs équipements réseau.
Si c'est une machine personnelle derrière une box c'est inutile de s'acharner.

Comme il a été indiqué par d'autres quand on veut configurer un pare-feu on commence par bloquer tout le trafic entrant (chaîne INPUT d'iptables). Tout autoriser et bloquer des IP ou plages d'IP une par une cela n'a pas de sens. Sauf si on utilise des scripts de banissement automatique comme fail2ban.

Pour le trafic sortant (chaîne OUTPUT), c'est suivant les besoins. On peut filtrer par exemple si la machine protège un réseau privé dans lequel on a une confiance limitée.

Pour la retransmission de paquets (chaîne FORWARD) on ne s'en occupe que si la machine est un routeur sinon la retransmission de paquets doit être déjà bloquée au niveau des paramètres du noyau. D'ailleurs avant de configurer le pare-feu on s'occupe d'abord des paramètres IP du noyau en plaçant les directives idoines sosu /etc/sysctl.d

jplemoine · Le 17/04/2021, à 11:47

Je crois que tu confonds : ça ne change rien aux problèmes des DDOS.
Dans un cas, tu interdis certaines IP puis autorises tout par défaut
Ce que l'on veut que tu testes :
Tu autorises ce que tu veux puis tu interdis tout par défaut.
Donc, une adresse inconnue sera interdite par défaut.

Ne pas oublier que s'il n'y a aucun processus qui écoute, le port est fermé par défaut.

jplemoine · Le 17/04/2021, à 11:49

En aparté : selon le cas, il faut mettre en place une solution de type geoip.
Cela permet de bloquer les IP qui ne sont pas d'un pays donné (par exemple, non française).

iznobe · Le 17/04/2021, à 11:50

Si vraiment tu subis des attaques DDOS , fail2ban peut etre interressant , il permet de limiter la casse .

jplemoine · Le 17/04/2021, à 11:57

Sauf erreur de ma part, ça ne change rien : fail2ban va juste bloquer les communications pendant l'attaque (et donc, il y aura bien un "déni de service) mais suite à l'attaque :
- dans le cas "normal" : le service est tombé. Il faudra le relancer (la plupart du temps manuellement)
- fail2ban va débloquer les communications : le service reprend
Donc, même si fail2ban est une (très) bonne solution, cela n’empêchera pas l'attaque (mais est-ce possible ?) mais limitera ses conséquences.
Pour info : fail2ban va simplement créer / détruire des règles iptables en fonction de critères donnés dans les paramètres.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 16/04/2021, à 14:01

Problème avec iptables

#2 Le 16/04/2021, à 15:20

Re : Problème avec iptables

#3 Le 16/04/2021, à 16:33

Re : Problème avec iptables

#4 Le 16/04/2021, à 19:51

Re : Problème avec iptables

#5 Le 16/04/2021, à 20:33

Re : Problème avec iptables

#6 Le 16/04/2021, à 20:41

Re : Problème avec iptables

#7 Le 16/04/2021, à 21:20

Re : Problème avec iptables

#8 Le 16/04/2021, à 21:25

Re : Problème avec iptables

#9 Le 16/04/2021, à 21:34

Re : Problème avec iptables

#10 Le 16/04/2021, à 21:53

Re : Problème avec iptables

#11 Le 17/04/2021, à 00:25

Re : Problème avec iptables

#12 Le 17/04/2021, à 06:31

Re : Problème avec iptables

#13 Le 17/04/2021, à 07:20

Re : Problème avec iptables

#14 Le 17/04/2021, à 09:17

Re : Problème avec iptables

#15 Le 17/04/2021, à 09:28

Re : Problème avec iptables

#16 Le 17/04/2021, à 09:31

Re : Problème avec iptables

#17 Le 17/04/2021, à 10:02

Re : Problème avec iptables

#18 Le 17/04/2021, à 10:23

Re : Problème avec iptables

#19 Le 17/04/2021, à 11:01

Re : Problème avec iptables

#20 Le 17/04/2021, à 11:45

Re : Problème avec iptables

#21 Le 17/04/2021, à 11:46

Re : Problème avec iptables

#22 Le 17/04/2021, à 11:47

Re : Problème avec iptables

#23 Le 17/04/2021, à 11:49

Re : Problème avec iptables

#24 Le 17/04/2021, à 11:50

Re : Problème avec iptables

#25 Le 17/04/2021, à 11:57

Re : Problème avec iptables

Pied de page des forums