DEDIBOX-NEWS.COM

Le Forum Non Officiel de la DEDIBOX

Vous n'êtes pas identifié.

Pages: 1 2 3 4

 

#76 2008-12-18 22:12:18

ScHinZe
Eleveur de phacomochères
Lieu: Katmandou
Date d'inscription: 2006-08-04
Messages: 2578
Site web

Re: [Iptables] Postons ici nos scripts

Bizarre...
Fais nous un iptables -L -v

http://www.schinze.fr/_imgs/banniere.jpg

Hors ligne

 

#77 2008-12-18 22:44:46

tirikou
Membre
Date d'inscription: 2008-12-15
Messages: 13

Re: [Iptables] Postons ici nos scripts

voici :

Code:

Chain INPUT (policy DROP 1030 packets, 82597 bytes)
 pkts bytes target     prot opt in     out     source               destination 
  482 23868 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:10022
   69 10533 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
   12   737 ACCEPT     0    --  lo     any     anywhere             anywhere    
    1   104 ACCEPT     icmp --  any    any     anywhere             anywhere    
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:8000
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:8001

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy DROP 114 packets, 8488 bytes)
 pkts bytes target     prot opt in     out     source               destination 
  517 61418 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    1    60 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp
   25  1356 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www
   13   813 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
    0     0 ACCEPT     0    --  any    lo      anywhere             anywhere

Hors ligne

 

#78 2008-12-18 22:49:01

ScHinZe
Eleveur de phacomochères
Lieu: Katmandou
Date d'inscription: 2006-08-04
Messages: 2578
Site web

Re: [Iptables] Postons ici nos scripts

Il te manque des autorisations mec...
Enfin, c'est certes liés à un serveur ftp, mais le ftp fonctionnant dans les 2 sens...
Essaye en rajoutant ca dans ton iptables

Code:

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]
http://www.schinze.fr/_imgs/banniere.jpg

Hors ligne

 

#79 2008-12-18 23:05:39

tirikou
Membre
Date d'inscription: 2008-12-15
Messages: 13

Re: [Iptables] Postons ici nos scripts

Gloups ...

Effectivement cela me met :

Setting firewall rules...
- Autoriser serveur FTP : [OK]

Peux tu me dire ce qu'il s'est passé ?
Au niveau autorisation que manque t-il ?

ip table c'est pas vraiment mon truc.

Hors ligne

 

#80 2008-12-18 23:11:32

ScHinZe
Eleveur de phacomochères
Lieu: Katmandou
Date d'inscription: 2006-08-04
Messages: 2578
Site web

Re: [Iptables] Postons ici nos scripts

tirikou a écrit:

Gloups ...

Effectivement cela me met :

Setting firewall rules...
- Autoriser serveur FTP : [OK]
.

C'est normal que ca te l'affiche, c'est écrit dans ton script de firewall.


Peux tu me dire ce qu'il s'est passé ?

Bah c'est pourtant explicite:

Code:

iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tu viens de lui dire "autorise tout ce qui rentre sur les ports TCP 20 et 21", ainsi que les paquets dont le statut est "ESTABLISHED" et "RELATED"

Au niveau autorisation que manque t-il ?

Bah essaye, tu verras

ip table c'est pas vraiment mon truc

Tu devrais te documenter mec...
Si tu copie/colle tout ce qu'on te dit sans comprendre, tu vas vite te retrouver avec un serveur en carafe...

http://www.schinze.fr/_imgs/banniere.jpg

Hors ligne

 

#81 2008-12-18 23:22:07

tirikou
Membre
Date d'inscription: 2008-12-15
Messages: 13

Re: [Iptables] Postons ici nos scripts

Si tu as un peu de lecture internet à me proposer sur le sujet in french ...
Ca sera avec plaisir.

Merci pour ce premier point.

Hors ligne

 

#82 2008-12-18 23:55:37

ScHinZe
Eleveur de phacomochères
Lieu: Katmandou
Date d'inscription: 2006-08-04
Messages: 2578
Site web

Re: [Iptables] Postons ici nos scripts

http://www.linux-france.org/prj/inetdoc … -tutorial/

http://www.schinze.fr/_imgs/banniere.jpg

Hors ligne

 

#83 2008-12-19 00:04:44

tirikou
Membre
Date d'inscription: 2008-12-15
Messages: 13

Re: [Iptables] Postons ici nos scripts

merci.

Hors ligne

 

#84 2009-04-30 00:58:14

moimoiici
Je débarque
Date d'inscription: 2009-04-29
Messages: 4

Re: [Iptables] Postons ici nos scripts

Inspiré de plusieurs scripts. Il n'est surement pas parfait.

Code:

#!/bin/bash
###############################################################################
# NOM: Moimoiici
# DATE: 30 AVRIL 2009
# COMMENTAIRE : Utilisation du suivi de connexion (ip_conntrack)
###############################################################################

# Configuration
PORTSSH=22

#
# Active les differents filtres necessaires
#

# No Spoofing ! On evite de se faire piquer notre IP Publique...
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
    for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
        echo 0 > filtre
    done
fi

# No ICMP ! ... On interdit les reponses ICMP (Ping, Traceroute, ...)
if
# Je veux répondre au ping  [ -e /proc/sys/net/ipv4/icmp_echo_ignore_all ] &&
   [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ] &&
   [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]
then
# je veux répondre au ping   echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

# Desactive les redirections ICMP !
for filtre in /proc/sys/net/ipv4/conf/*/accept_redirects
do
    echo 0 > filtre
done

for filtre in /proc/sys/net/ipv4/conf/*/send_redirects
do
    echo 0 > filtre
done

# Desactive les Packets Sources Routes
for filtre in /proc/sys/net/ipv4/conf/*/accept_source_route
do
    echo 0 > filtre
done

# Log Packets Spoofes, Source Routes, Rediriges !
for filtre in /proc/sys/net/ipv4/conf/*/log_martians
do
    echo 1 > filtre
done

# Protection SYNCOOKIES
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
then
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

# Reduit les possibilites d'attaque DoS (Denial Of Service)
## par reduction des timeouts
if [ -e /proc/sys/net/ipv4/tcp_fin_timeout ] &&
    [ -e /proc/sys/net/ipv4/tcp_windows_scaling ] &&
    [ -e /proc/sys/net/ipv4/tcp_timestamps ] &&
    [ -e /proc/sys/net/ipv4/tcp_sack ] &&
    [ -e /proc/sys/net/ipv4/tcp_max_syn_backlog ]
then
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    echo 0 > /proc/sys/net/ipv4/tcp_windows_scaling
    echo 0 > /proc/sys/net/ipv4/tcp_timestamps
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
fi


###### Debut Initialisation ######

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport $PORTSSH -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, HTTP, HTTPS, NTP, WHOIS
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 43  -m state --state NEW -j ACCEPT
echo - Autoriser les requetes DNS, HTTP, HTTPS, NTP, WHOIS : [OK]

# Autoriser les requetes FTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
echo - Autoriser les requetes FTP : [OK]

#FTP actif
iptables -t filter -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser les requetes FTP (mode actif) : [OK]

#FTP passif
modprobe ip_conntrack_ftp
iptables -t filter -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
echo - Autoriser les requetes FTP (mode passif) : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
#echo - Autoriser serveur Apache : [OK]

# FTP
#modprobe ip_conntrack_ftp
#iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur SMTP : [OK]

# DMA Monitoring Dedibox
iptables -t filter -A INPUT -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT
echo - Autoriser DMA Monitoring Dedibox : [OK]

# Log des paquets rejetes dans /var/log/messages
echo + Regles log des paquets rejetes ([IN/FO/OU_PKTS_DROP]==>)
iptables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP]==> "
iptables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP]==> "
iptables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP]==> "
echo - Activer le log sur les paquets rejetes : [OK]

###### Fin Regles ######

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]


# Regles de Destruction !!!
#
# Detruit les connexions sur l'interface <- Internet qui aurait pour adr_ip celles d'une classe privee !
## Une variante de 'no-spoofing' !

iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP # adr de Loopback
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP # adr Class A privee
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP # adr Link Local Network
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP # adr Class B privee
iptables -A SPOOFED -s 192.0.2.0/24 -j DROP # adr TEST-NET
iptables -A SPOOFED -s 192.168.0.0/24 -j DROP # adr Class C Privee
iptables -A SPOOFED -s 224.0.0.1/4 -j DROP # adr Class D MultiCast
iptables -A SPOOFED -s 240.0.0.0/4 -j DROP # adr Class E Reservee
echo - Bloquer le Spoofing : [OK]

# Vidage des regles pour toutes les tables
ip6tables -F

# permet l'effacement de toutes les chaines qui ne sont pas par defaut dans la
# table filter
ip6tables -X

# IPV6
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
echo Flushing rules (ip6)
ip6tables --flush
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --delete-chain
echo - Interdire IPv6 : [OK]

# Pour eviter de pourrir mes logs
ip6tables -t filter -A INPUT -p icmpv6 -j DROP

# Log des paquets rejetes dans /var/log/messages
echo + Regles log des paquets rejetes ([IN/FO/OU_PKTS_DROP_IP6]==>)
ip6tables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP_IP6]==> "
ip6tables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP_IP6]==> "
ip6tables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP_IP6]==> "
echo - Activer le log sur les paquets IPv6 rejetes : [OK]

/etc/init.d/fail2ban start

echo "  + ======================== SCRIPT TERMINE! ========================="
echo "  + Afficher la configuration de la table filter : 'iptables -L -n -v'"
echo "  + Ou 'iptables -L -n -v -t nat ou mangle' pour les autres tables"
echo "  + Afficher la configuration de la table filter : 'ip6tables -L -n -v'"
echo "  + Ou 'ip6tables -L -n -v -t nat ou mangle' pour les autres tables"
echo "  + =================================================================="

Hors ligne

 

#85 2009-05-15 10:37:27

totone
Membre
Date d'inscription: 2009-02-28
Messages: 12

Re: [Iptables] Postons ici nos scripts

salut moi je suis sous debian lenny en 64 bits et voici mon iptable fonctionnel

Code:

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

#####################################################--SSH--##################################################################

# SSH entrant
iptables -t filter -A INPUT -p tcp --dport 1986 -j ACCEPT

# SSH sortant
iptables -t filter -A OUTPUT -p tcp --dport 1986 -j ACCEPT

######################################################--DNS--#################################################################

# DNS entrant/sortant
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

######################################################--NTP--#################################################################

# NTP sortant
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

######################################################--HTTP--################################################################

# HTTP + HTTPS sortant
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS entrant
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

#######################################################--FTP--################################################################

# FTP sortant
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

# FTP entrant
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


#######################################################--MAIL--###############################################################

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

#######################################################--DMA--###############################################################

# DMA Monitoring Dedibox
iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT

#######################################################--MUMBLE--############################################################

#Le Serveur Mumble des titen
iptables -t filter -A INPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 64000 -j ACCEPT

#######################################################--Team-Speak--########################################################

#Le Serveur Team-Speak
#le support web
iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 14534 -j ACCEPT

#Le Serveur en lui même
iptables -t filter -A INPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51234 -j ACCEPT

#Le port d'écoute
iptables -t filter -A INPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 8767 -j ACCEPT

#######################################################--COD4--##############################################################

#bot de surveillance des serveurs
iptables -t filter -A INPUT -p tcp --dport 6667 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 6667 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 6667 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 6667 -j ACCEPT

#Serveurs de Jeux Call Of Duty 4

#Mod Frontlines
iptables -t filter -A INPUT -p tcp --dport 28950 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 28950 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 28950 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 28950 -j ACCEPT

#Custom map
iptables -t filter -A INPUT -p tcp --dport 28960 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 28960 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 28960 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 28960 -j ACCEPT

#Le serveur des LFT
iptables -t filter -A INPUT -p tcp --dport 28962 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 28962 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 28962 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 28962 -j ACCEPT

#Mod gungame
iptables -t filter -A INPUT -p tcp --dport 28970 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 28970 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 28970 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 28970 -j ACCEPT

#Mod Paintball
iptables -t filter -A INPUT -p tcp --dport 28980 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 28980 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 28980 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 28980 -j ACCEPT

#Le serveur à Freddy
iptables -t filter -A INPUT -p tcp --dport 29000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 29000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 29000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 29000 -j ACCEPT

Dernière modification par totone (2009-05-15 10:37:48)

Hors ligne

 

#86 2009-10-18 14:54:37

mafia
Petit scarabé
Date d'inscription: 2008-03-22
Messages: 62

Re: [Iptables] Postons ici nos scripts

salut moi je suis sous debian 5 en 32 bits et voici mon iptable parcontre j ai un petit probleme arrive plus install les serveurs cstrike ,Counter-Strike Source etc qui peut m 'aide merci

Code:

#!/bin/bash
/etc/init.d/fail2ban stop
echo Setting firewall rules...
#
# config de base
#
# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# Gestion des connexions entrantes autorisées
#
# iptables -t filter -A INPUT -p <tcp|udp> --dport <port> -j ACCEPT

#DNS
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# Flash Media Server 2
iptables -t filter -A INPUT -p tcp --dport 1935 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1111 -j ACCEPT
echo - Autoriser serveur Flash Media Server 2 : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

# Steamcast
iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT
echo - Autoriser serveur ShoutCast autonome : [OK]

# Webmin
iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
echo - Autoriser serveur Webmin : [OK]

#######################################################--Team-Speak--########################################################
#Le Serveur Team-Speak
#le support web
iptables -t filter -A INPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 14534 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 14534 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 14534 -j ACCEPT

#Le Serveur en lui même
iptables -t filter -A INPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 51234 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51234 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 51234 -j ACCEPT

#Le port d'écoute
iptables -t filter -A INPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8767 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 8767 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 8767 -j ACCEPT

#######################################################--MUMBLE--############################################################
#Le Serveur Mumble des titen
iptables -t filter -A INPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 64000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 64000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 64000 -j ACCEPT


# Syn-Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]

# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]

/etc/init.d/fail2ban start

# IPV6
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables --flush                                   
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --delete-chain
echo "- Interdire IPv6 : [OK]"

echo Firewall mis a jour avec succes !

#################################################
### Fonctions de lancement / arret
#################################################
# Fonction qui lance les regles du firewall
start() {
echo "Demarrage du firewall"
regles_protection
RETVAL=?
echo
}
# Fonction qui arrete les regles du firewall
stop() {
echo "Arret du firewall"
vide_regles
RETVAL=?
echo
}
# Gestion de l argument
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
status)
/sbin/iptables -L
/sbin/iptables -t nat -L
RETVAL=?
;;
*)
echo "Usage : firewall {start|stop|restart|status}"
RETVAL=1
esac
exit

Hors ligne

 

#87 2010-01-23 06:28:18

dedizones
Petit scarabé
Lieu: foratch
Date d'inscription: 2008-10-20
Messages: 52
Site web

Re: [Iptables] Postons ici nos scripts

merci,

beaucoup wink

je l'ai custom un peu

Dernière modification par dedizones (2010-01-23 06:34:13)

http://cache.www.gametracker.com/server_info/188.165.45.148:9987/b_560x95.png

Hors ligne

 

#88 2010-02-24 17:37:59

dedizones
Petit scarabé
Lieu: foratch
Date d'inscription: 2008-10-20
Messages: 52
Site web

Re: [Iptables] Postons ici nos scripts

Mon script me dire si good ou pas

ajout de variable:
- pour limiter le flood en general.
- eviter woot woot pourrisse mes log
- pour limiter les scan

sous debian j'ai mis scanlogd pour voir qui me scann et fail2ban bien sur wink

D'après mes test avec nmap depuis ma connection mon serveur est totalement invisible big_smile même le port ssh il ne le voit pas :p

Code:

#!/bin/bash
/etc/init.d/fail2ban stop
echo Setting firewall rules...
#
# config de base
#
# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport XX -j ACCEPT
echo - Autoriser SSH : [OK]


# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, SMTP, HTTP, NTP : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j DROP
iptables -t filter -A OUTPUT -p icmp -j DROP
echo - Autoriser ping : [OK]

# Gestion des connexions entrantes autorisées
#
# iptables -t filter -A INPUT -p <tcp|udp> --dport <port> -j ACCEPT

#DNS
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# Steamcast
iptables -t filter -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8001 -j ACCEPT
echo - Couper serveur ShoutCast autonome : [OK]


#######################################################--antiflood--############################################################
# Syn-Flood
iptables -A FORWARD -i eth0 -p tcp --syn -m limit --limit 1/second -j DROP
iptables -A FORWARD -i eth0 -p udp -m limit --limit 1/second -j DROP
echo - Limiter le Syn-Flood TCP UDP: [OK]


# Furtif
iptables -A FORWARD -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j DROP
echo - Balayage de ports furtif : [OK]

# Ping de la mort
iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
echo - Ping de La mort : [OK]

# Anti Woot-Woot
iptables -I INPUT -d XX.XX.XX.XX -p tcp --dport 80 -m string --to 70 \ 
--algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
echo - Dans Ton cu Woot-Woot : [OK]

# Anti Scanner HTTP
iptables -I INPUT -d XX.XX.XX.XX -p tcp --dport 80 -m string --to 700 \ 
--algo bm --string 'Host: XX.XX.XX.XX' -j DROP
echo - Pas de Scanner Http : [OK]


# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]

echo Firewall mis a jour avec succes !

/etc/init.d/fail2ban start

vous en pensez quoi ?

Dernière modification par dedizones (2010-02-24 17:41:13)

http://cache.www.gametracker.com/server_info/188.165.45.148:9987/b_560x95.png

Hors ligne

 

 

Pages: 1 2 3 4

Pied de page des forums

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson