Pages : 1
#1 Le 27/08/2022, à 00:30
- spectroms
Regles iptables corrects ?
Bonjour,
J'ai un VPS et je voulais configurer les tables iptables pour le sécuriser.
Le problème c'est que j'ai jamais fais ça.
voici ce que j'ai fais:
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- anywhere anywhere udp dpt:51820
2 ACCEPT all -- anywhere anywhere
3 ACCEPT tcp -- anywhere anywhere tcp dpt:http
4 ACCEPT tcp -- anywhere anywhere tcp dpt:65534
5 ACCEPT tcp -- anywhere anywhere tcp dpt:https
6 ACCEPT tcp -- anywhere anywhere tcp dpt:4083
7 ACCEPT tcp -- anywhere anywhere tcp dpt:5053
8 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
9 ACCEPT tcp -- anywhere anywhere tcp dpt:3000
10 DROP all -- anywhere anywhere
11 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHEDCa fonctionné bien jusqu'à que j'ai vu que l'apt-get n'arrivait pas à télécharger les paquets.
J'ai donc tatonné pour arrivé à que celà fonctionne. Le bialn des regles est ceci:
num target prot opt source destination
1 ACCEPT udp -- anywhere anywhere udp dpt:51820
2 ACCEPT all -- anywhere anywhere
3 ACCEPT tcp -- anywhere anywhere tcp dpt:http
4 ACCEPT tcp -- anywhere anywhere tcp dpt:22
5 ACCEPT tcp -- anywhere anywhere tcp dpt:https
6 ACCEPT tcp -- anywhere anywhere tcp dpt:4083
7 ACCEPT tcp -- anywhere anywhere tcp dpt:5053
8 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
9 ACCEPT tcp -- anywhere anywhere tcp dpt:3000
10 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
11 ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
12 ACCEPT tcp -- anywhere anywhere tcp spt:http state RELATED,ESTABLISHED
13 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT all -- 10.7.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT tcp -- anywhere anywhere tcp dpt:http state NEW
3 ACCEPT tcp -- anywhere anywhere tcp dpt:domain state NEW
4 ACCEPT udp -- anywhere anywhere udp dpt:domain state NEWLe probleme c'est que je me demande si au final je n'ai pas tout autorisé et que du coup l'iptable ne sert à rien ;(
En brief, quelles regles vous me conseillerais que pensez vous de ce que j'ai ?
Merci d'avance
Hors ligne
#2 Le 27/08/2022, à 14:03
- Vobul
Re : Regles iptables corrects ?
Ce que je te conseille surtout c'est d'utiliser ufw. Voir même utiliser le firewall de ton cloud provider (security groups ça peut s'appeller).
En plus tu nous demandes "est-ce que c'est bon ?" mais sans avoir défini au préalable ce que tu souhaites avoir au final.
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#3 Le 28/08/2022, à 18:08
- spectroms
Re : Regles iptables corrects ?
Bonjour Merci pour ta réponse.
Effectivement, j'ai lu dans un article qui parlé de ufw. Je vais me pencher sur la question pour l'installer;
Concernant mon "est ce bon ?". Comme je l'ai dit j'ai jamais touché de iptable de ma vie, c'est un peu du charabia pour moi.
J'ai pas de besoin spécifique, j'aidonc fait de mon mieux en déclarant des ports tradictionnels : http, https, ssh et quelques ports exotiques que j'utilise.
A la fin, je drop tout le reste. Ca me semblait pas trop mal.
Mais comme je l'ai dit ca bloqué trop car le apt-get était bloqué à ma grande surprise.
Dans la version corrigé, je vois plus de drop, j'ai donc l'impression qu'il laisse tout passé et que mon iptables serait vide ou remplit ca changer strictement rien, car laisse tout passé.
C'est dans ce cadre que j'ai demandé, car j'ai bien l'impression que je suis dans ce cas et du coup que mon iptable est faux.
Et rien de pire de se croire protéger et de ne pas l'etre...
Hors ligne
#4 Le 28/08/2022, à 18:47
- bruno
Re : Regles iptables corrects ?
Et rien de pire de se croire protéger et de ne pas l'etre...
Demande donc toi de quoi le pare-feu peut te protéger.
Si tu ne sais pas ce que tu veux filtrer et pourquoi tu veux filtrer des flux réseau, c'est que tu n'as pas besoin de pare-feu.
#5 Le 28/08/2022, à 19:06
- spectroms
Re : Regles iptables corrects ?
spectroms a écrit :Et rien de pire de se croire protéger et de ne pas l'etre...
Demande donc toi de quoi le pare-feu peut te protéger.
Si tu ne sais pas ce que tu veux filtrer et pourquoi tu veux filtrer des flux réseau, c'est que tu n'as pas besoin de pare-feu.
?? pas bien compris ou tu veux en venir 
Bref je reviens vers toi Vobul car ton conseil semble porter ses fruits, car en faisant un tour dans le syslog, je suis envahi de :
Aug 28 11:06:12 server kernel: [205018.860776] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=159.203.181.133 DST=62.88.17.50 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=36735 DF PROTO=TCP SPT=41182 DPT=45 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 28 11:06:32 server kernel: [205038.788478] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=80.13.153.140 DST=62.88.17.50 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=59615 PROTO=TCP SPT=34037 DPT=301 WINDOW=1024 RES=0x00 SYN URGP=0
Aug 28 11:06:52 server kernel: [205058.504154] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=159.203.181.133 DST=62.88.17.50 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=64435 DF PROTO=TCP SPT=51188 DPT=45 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 28 11:07:13 server kernel: [205080.016242] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=185.156.73.120 DST=62.88.17.50 LEN=40 TOS=0x00 PREC=0x00 TTL=248 ID=33256 PROTO=TCP SPT=45077 DPT=52941 WINDOW=1024 RES=0x00 SYN URGP=0
J'ai bien l'impression que ca attaque dans tout les sens, si jarrive bien à lire.J'espere aussi que je l'ai installé suffisamment top.
J'ai meme peur que mon serveur sature de tout ces logs vu que j'en ai plusieurs par minute. Il y a un risque ?
Hors ligne
#6 Le 28/08/2022, à 20:21
- Vobul
Re : Regles iptables corrects ?
Au risque de me répéter, installe et utilise ufw, c'est vraiment hyper simple à utiliser et très clair.
iptables c'est un peu ce qu'il y a quand tu soulèves le capot d'une voiture, si t'as aucune idée de ce que tu fais, il vaut mieux éviter d'y toucher.
Pour les logs, regarde du côté de la conf syslog pour être sûr qu'après une certaine taille/nombre ils sont supprimés.
Et si c'est un serveur "cloud", les security groups c'est fait pour ça !
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#7 Le 31/08/2022, à 13:31
- bruno
Re : Regles iptables corrects ?
J'essaie de t'expliquer que tes règles (correctes ou pas) ne servent strictement à rien. Avoir uniquement quelques service en écoute sans aucune règle de pare-feu et avoir des règles qui bloquent tout sauf les dits services cela revient quasiment au même. Un paquet à destination d'un port sur le quel aucun service n'est en écoute est tout simplement ignoré par le noyau.
On ne crée pas des règles de pare-feu juste parce que l'on a lu quelque part que c'est une sécurité…
Qu'est-ce que tu essaies de filtrer avec ton pare-feu ?
N.B. : quand on met en place un filtrage, on commence par tout bloquer (politique par défaut DROP) et on autorise ensuite au cas par cas. Et surtout on ne cherche pas à loguer tous les paquets qui seraient normalement ignorés, sinon il y a effectivement un risque de saturer les logs.
Pages : 1