Mes regles iptables sont-elles correctes ?

Zakimak · Juillet 14, 2007, 4:31

Bonjour,
J’aimerais savoir ce que vous pensez de mes règles iptables pour un pc sous ubuntu 7.04 ( pas un server ) derriere un modem(freebox).
c’est plus pour voir comment marche iptables, j’ai l’attention d’avoir un serveur plus tard, donc faut que je me fasse la main sur un truc simple :o.
voici mes regles :

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:44]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22,115 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p igmp -j ACCEPT
-A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 111 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 111 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 2049 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 2049 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 4672 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 54000 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 80 -j ACCEPT
-A INPUT -i eth0 -s mafreebox.freebox.fr -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT

-A OUTPUT -o eth0 -j ACCEPT

-A fail2ban-ssh -j RETURN
COMMIT

j’ai une question :
la regle “-A OUTPUT -o eth0 -j ACCEPT " pose -t’elle un probleme pour un pc non serveur ?
ou alors pourquoi ne pas faire de " iptables -P OUTPUT ACCEPT” plutot pendant que j’y pense :ane:

sinon ca va mes regles ?
Edité le 14/07/2007 à 13:57

lithium · Juillet 14, 2007, 9:51

tant qu’elle tombent tous les 28 jours c’est correcte :paf:

fakbill · Juillet 14, 2007, 11:08

lithium : c’est un peu limite…
Zakimak : Pour tester un firewall, tu peux commencer par prendre une machine extérieure à utliser nmap. Ca teste les ports ouverts (et plus encore si on lit le manuel de nmap).

ps : correct(E)(S)
Edité le 14/07/2007 à 11:09

Zakimak · Juillet 14, 2007, 2:01

c’est bon ca a l’air d’aller mais j’ai un probleme que j’avais avant avec firestarter.
Pendant les vacances j’ai changé d’endroit donc de freebox (non degroupé), j’ai configuré la freebox exactement comme mon ancienne.
Et il est impossible de se connecter au serveur apache et en ssh a partir du net (en local ca marche). Vous pouvez essayer … 81.56.166.182…
pourtant j’ai bien les regles :

Avec mon autre freebox ca marchait… je comprends pas du tout la…
surtout qu’avec des sites comme www.grc.com… on voit bien que les ports 80 et 22 sont ouverts…

D’ailleurs sur des sites de test de port, ils disent qu’il y a un probleme avec ces ports car ils sont ouverts, mais ca ne pose pas de probleme si on a bien configuré son server ssh et son server apache ?
Edité le 14/07/2007 à 14:03

HeinrichI · Juillet 14, 2007, 2:12

Pour ton serveur :

Zakimak · Juillet 14, 2007, 2:52

ah cool, ca veut dire que ca marche quand meme, bizarre que je ne puisse pas y acceder par l’ip public
Pour confirmer, …166.182/site ca affiche bien un “pseudo” site ? (oui j’ai pas d’amis sur msn en ce moment pour tester :o )
Edité le 14/07/2007 à 14:54

lithium · Juillet 14, 2007, 2:56

ça fonctionne, et ça aussi :

Zakimak · Juillet 14, 2007, 3:22

Ok merci :jap:
Ca me rassure.

Zakimak · Juillet 14, 2007, 4:40

voila mon script zakouille.free.fr…
me suis inspiré de wiki.linuxwall.info… :ane:
bon en fait, c’etait pas trop dur … pour une utilisation classique.
J’ai hate d’avoir mon serveur pour en faire une passerelle et un serveur lamp et de me prendre la tete avec iptables
Edité le 14/07/2007 à 16:41