Securité : Iptables et states (related, invalid....)

Bonjour,
Ayant suivi pas mal de tutos sur iptables sur le net, il y a un truc qui revient souvent :

Si j’ai bien compris avec ça et le module conntrack, le serveur ouvre les ports qu’il faut automatiquement ?, c’est a dire que si j’ai un server apache, le port 80 sera ouvert juste avec cette règle ?
et je me demande si c’est pas trop permissif …

Surtout qu’en scannant les ports avec nmap a partir d’une autre machine, je vois que les ports non utilisés sont fermé et pas caché…

Alors qu’en désactivant cette règle, et en ouvrant tous les ports dont j’ai besoin, les ports non utilisés sont bien caché (ou filtered sous nmap)

Déjà, je vois pas trop la différence entre caché et fermé.

Sinon, je pense que pour un serveur, il vaut peut-être mieux ouvrir les ports dont on a besoin en utilisant bien les states (established, related …) non ?

Tout ceci est un peu flou, j’aurais besoin de confirmation,

merci d’avance.

Bonjour,

Un port caché est un port qui ne répond pas aux demandes IP, le client non autorisé ne voie rien sur le port donc en déduit qu’il n’y a rien et n’a pas plus d’informations que cela.

Si le port est fermé le client non autorisé voie tout de même une ouverture de session IP qui lui sera refusée. Cela donne donc l’information à celui-ci que quelque chose écoute bien sur le port ciblé. Dans le cas d’un pirate il va s’acharner si le port qui correspond à un service qu’il recherche (Généralement telnet, ftp, …).

Bref pour faire simple, caché est mieux d’un point de vue sécurité.

Pour ta deuxième question, dans le cas d’un serveur surtout, on réfléchis à l’envers. On ferme TOUT et on ouvre le strict minimum (Et oui c’est pas wind…). Le problème est là de savoir ce que tu veux faire de ta machine. Un bon tutorial pour IPTABLE : http://linbox.free.fr/install_passerelle.html
Edité le 02/02/2008 à 08:21

Ok merci,

c’est ce que j’ai fait je pense … par exemple, au lieu des regles précédente :

Pour autoriser mon serveur a visiter des sites web, se connecter a un chan IRC, se connecter en SSH…
Mon server sert pour le moment de passerelle NAT, de partage de fichiers en NFS (en local) de server svn, apache …

Sinon, je pense que ces regles la sont tres bien pour un pc de bureau classique, non ?

Et merci pour ton site, il a l’air vraiment pas mal :slight_smile:
Edité le 02/02/2008 à 10:58

les etats RELATED,ESTABLISHED, c’est pour autorisé les connexions déjà existantes et celles en relation (cas du ftp actif, port 21 pour les commandes et port >1024 choisis aléatoirement pour les tranferts).

celle qui ne va pas à mon avis c’est la seconde ligne de cette façons je pense que tout ce qui n’est pas autorisé ou invalide et refusé (d’où l’etat “fermé” au scanner

essaye peut être ça :
iptables -t filter -A OUTPUT -o $wancard -s $wancard_ip -d $wan -m state --state INVALID -j DROP

dans ce cas ce qui est invalide est rejeté silencieusement.