Bloquer tous les ports sauf certains

NeqO_1_1 · Mars 24, 2005, 7:57

On organise une LAN et on disposera d’une connection internet.
Alors bien sur on veut bloquer tous les ports, Sauf le port 80 et ceux de Steam :
UDP 1200
UDP 27000 à 27015
TCP 27020 à 27039

Le serveur principal, celui qui aura la conenction Internet tourne sur SME Server.

comment faire pour faire ça ?

je trouve un article sur léa linux, et je pense faire comme ça.

iptables -A OUTPUT -m multiport -p all --sport ! 80, 27000, 27001 [… -j DENY

c’est juste ?

merci

mr_pouit · Mars 24, 2005, 8:21

ça doit être ça : je suis pas un pro iptables, mais à mon avis il faut rajouter NEW,ESTABLISHED pour qu’il autorise les nouvelles connexions et celles déjà en cours… j’me trompe ?

[MàJ] et je pense que par défaut, c’est mieux de tout fermer DROP input, output et forward, et ensuite t’applique la ligne pour libérer les ports utilisés par Steam

[MàJ 2] et encore mieux, plutôt que te te taper les 20 ports à écrire, mets 27000:27015

Incarnation · Mars 24, 2005, 8:35

Pour bloquer les paquets qui transitent par le gateway/firewall (on suppose que ce n’est pas le serveur HL), il faut utiliser la chaine compile FORWARD.

iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -A FORWARD -m state --state NEW -i $LAN_NIC -o $INET_NIC -s $LAN -d $ANY -p tcp --tcp-flags ALL SYN --sport 1024: --dport http -j ACCEPT

iptables -t filter -A FORWARD -m state --state NEW -i $LAN_NIC -o $INET_NIC -s $LAN -d $ANY -p tcp --tcp-flags ALL SYN --sport 1024: --dport 27020:27039 -j ACCEPT

iptables -t filter -A FORWARD -m state --state NEW -i $LAN_NIC -o $INET_NIC -s $LAN -d $ANY -p udp --sport 1024: --dport 27000:27015 -j ACCEPT

iptables -t filter -A FORWARD -m state --state NEW -i $LAN_NIC -o $INET_NIC -s $LAN -d $ANY -p udp --sport 1024: --dport 1200 -j ACCEPT

Avec ces variables :

ANY=“0.0.0.0/0”
LAN=“adresse reseau du LAN” #exemple : 192.168.0.0/24

LAN_NIC=“carte reseau LAN”
INET_NIC=“carte reseau Internet”

mr_pouit · Mars 24, 2005, 8:38

euh… faudrait peut-être protéger le serveur là, non ? parce que là il filtre ce qui passe, mais il se prend tout dans la tronche :fou:

par exemple iptables -t filter -P INPUT DROP

NeqO_1_1 · Mars 25, 2005, 7:14

tu pose un problème auquel je n’avais pas pensé: avoir 2 cartes réseau.

je vais voir sous quelle forme on aura notre connection, routeur, modem usb, j’ai sais rien encore.
(j’espère pas modem usb en tout cas :D))