Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/08/2022, à 00:30

spectroms

Regles iptables corrects ?

Bonjour,

J'ai un VPS et je voulais configurer les tables iptables pour le sécuriser.
Le problème c'est que j'ai jamais fais ça.

voici ce que j'ai fais:

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:65534
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
6    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4083
7    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5053
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3000
10   DROP       all  --  anywhere             anywhere
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Ca fonctionné bien jusqu'à que j'ai vu que l'apt-get n'arrivait pas à télécharger les paquets.

J'ai donc tatonné pour arrivé à que celà fonctionne. Le bialn des regles est ceci:

num  target     prot opt source               destination
1    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:22
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
6    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4083
7    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5053
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3000
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
11   ACCEPT     udp  --  anywhere             anywhere             udp spt:domain dpts:1024:65535
12   ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http state RELATED,ESTABLISHED
13   ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     all  --  10.7.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http state NEW
3    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain state NEW
4    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain state NEW

Le probleme c'est que je me demande si au final je n'ai pas tout autorisé et que du coup l'iptable ne sert à rien ;(
En brief, quelles regles vous me conseillerais que pensez vous de ce que j'ai ?

Merci d'avance

Hors ligne

#2 Le 27/08/2022, à 14:03

Vobul

Re : Regles iptables corrects ?

Ce que je te conseille surtout c'est d'utiliser ufw. Voir même utiliser le firewall de ton cloud provider (security groups ça peut s'appeller).

En plus tu nous demandes "est-ce que c'est bon ?" mais sans avoir défini au préalable ce que tu souhaites avoir au final.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 28/08/2022, à 18:08

spectroms

Re : Regles iptables corrects ?

Bonjour Merci pour ta réponse.

Effectivement, j'ai lu dans un article qui parlé de ufw. Je vais me pencher sur la question pour l'installer;
Concernant mon "est ce bon ?". Comme je l'ai dit j'ai jamais touché de iptable de ma vie, c'est un peu du charabia pour moi.
J'ai pas de besoin spécifique, j'aidonc fait de mon mieux en déclarant des ports tradictionnels : http, https, ssh et quelques ports exotiques que j'utilise.
A la fin, je drop tout le reste. Ca me semblait pas trop mal.

Mais comme je l'ai dit ca bloqué trop car le apt-get était bloqué à ma grande surprise.
Dans la version corrigé, je vois plus de drop, j'ai donc l'impression qu'il laisse tout passé et que mon iptables serait vide ou remplit ca changer strictement rien, car laisse tout passé.
C'est dans ce cadre que j'ai demandé, car j'ai bien l'impression que je suis dans ce cas et du coup que mon iptable est faux.
Et rien de pire de se croire protéger et de ne pas l'etre...

Hors ligne

#4 Le 28/08/2022, à 18:47

bruno

Re : Regles iptables corrects ?

spectroms a écrit :

Et rien de pire de se croire protéger et de ne pas l'etre...

Demande donc toi de quoi le pare-feu peut te protéger.
Si tu ne sais pas ce que tu veux filtrer et pourquoi tu veux filtrer des flux réseau, c'est que tu n'as pas besoin de pare-feu.

#5 Le 28/08/2022, à 19:06

spectroms

Re : Regles iptables corrects ?

bruno a écrit :
spectroms a écrit :

Et rien de pire de se croire protéger et de ne pas l'etre...

Demande donc toi de quoi le pare-feu peut te protéger.
Si tu ne sais pas ce que tu veux filtrer et pourquoi tu veux filtrer des flux réseau, c'est que tu n'as pas besoin de pare-feu.

?? pas bien compris ou tu veux en venir hmm

Bref je reviens vers toi Vobul car ton conseil semble porter ses fruits, car en faisant un tour dans le syslog, je suis envahi de :

 
Aug 28 11:06:12 server kernel: [205018.860776] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=159.203.181.133 DST=62.88.17.50 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=36735 DF PROTO=TCP SPT=41182 DPT=45 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 28 11:06:32 server kernel: [205038.788478] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=80.13.153.140 DST=62.88.17.50 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=59615 PROTO=TCP SPT=34037 DPT=301 WINDOW=1024 RES=0x00 SYN URGP=0 
Aug 28 11:06:52 server kernel: [205058.504154] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=159.203.181.133 DST=62.88.17.50 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=64435 DF PROTO=TCP SPT=51188 DPT=45 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 28 11:07:13 server kernel: [205080.016242] [UFW BLOCK] IN=eth0 OUT= MAC=02:00:00:e7:ab:64:00:5d:73:a9:76:fc:08:00 SRC=185.156.73.120 DST=62.88.17.50 LEN=40 TOS=0x00 PREC=0x00 TTL=248 ID=33256 PROTO=TCP SPT=45077 DPT=52941 WINDOW=1024 RES=0x00 SYN URGP=0 
 

J'ai bien l'impression que ca attaque dans tout les sens, si jarrive bien à lire.J'espere aussi que je l'ai installé suffisamment top.
J'ai meme peur que mon serveur sature de tout ces logs vu que j'en ai plusieurs par minute. Il y a un risque ?

Hors ligne

#6 Le 28/08/2022, à 20:21

Vobul

Re : Regles iptables corrects ?

Au risque de me répéter, installe et utilise ufw, c'est vraiment hyper simple à utiliser et très clair.

iptables c'est un peu ce qu'il y a quand tu soulèves le capot d'une voiture, si t'as aucune idée de ce que tu fais, il vaut mieux éviter d'y toucher.

Pour les logs, regarde du côté de la conf syslog pour être sûr qu'après une certaine taille/nombre ils sont supprimés.

Et si c'est un serveur "cloud", les security groups c'est fait pour ça !


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#7 Le 31/08/2022, à 13:31

bruno

Re : Regles iptables corrects ?

J'essaie de t'expliquer que tes règles (correctes ou pas) ne servent strictement à rien. Avoir uniquement quelques service en écoute sans aucune règle de pare-feu et avoir des règles qui bloquent tout sauf les dits services cela revient quasiment au même. Un paquet à destination d'un port sur le quel aucun service n'est en écoute est tout simplement ignoré par le noyau.
On ne crée pas des règles de pare-feu juste parce que l'on a lu quelque part que c'est une sécurité…
Qu'est-ce que tu essaies de filtrer avec ton pare-feu ?

N.B. : quand on met en place un filtrage, on commence par tout bloquer (politique par défaut DROP) et on autorise ensuite au cas par cas. Et surtout on ne cherche pas à loguer tous les paquets qui seraient normalement ignorés, sinon il y a effectivement un risque de saturer les logs.