DEDIBOX-NEWS.COM

Merci beaucoup. Etant plutôt du genre nioubi, je sens que j'aurais rapidement une envie irrépressible de poser des questions. Enfin dès que ma Dedibox sera opérationnelle

Ciao,
LoneCat

Définitivement ? On peut quand même réinstaller le serveur non ? ou utiliser la console d'urgence ?

Suite à une petite erreur de configuration dans mes iptables, je me retrouve sans possibilité d'accès à ma dedibox.

Y aurait-il moyen qu'un technicien la redémarre sans firewall, que je puisse reprendre la main pour régler le problème ?

Merci

à mon avis c'est possible de demander à un technicien mais faut pas etre préssé...
sinon pour les firewall, il faut TOUJOURS s'assurer de ne pas scier la branche sur laquelle on est !
en metant par exemple une regle qui autorise tous les access par votre ip

le minimum avant de passer les polices en DROP :
- autoriser tout trafic au provenance et en destination de votre ip (regles dans INPUT et OUTPUT)
- autoriser le port 22 en tcp (SSH)
- autoriser le port 10000 en tcp (webmin)
- on peu aussi autoriser les requetes icmp, pour le monitoring automatique par ping

Puis n'appliquer les règles que pendant un certain temps tant que c'est pas validé.

http://olivieraj.free.fr/fr/linux/infor … fw-03.html

Rien n'est protégé en standard.

Personnellement quand j'arrive sur un serveur je suis toujours ça :

# vi /etc/init.d/firewall

#!/bin/bash
echo Setting firewall rules...

#
# config de base
#

# vidage
iptables -t filter -F
iptables -t filter -X
# avant tout : autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

# interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
# autoriser les requetes DNS, FTP, HTTP (pour les mises a jour)
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

# autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Refuser ping
iptables -t filter -A INPUT -p icmp -j DROP

#
# gestion des connexions entrantes autorisées
#

# iptables -t filter -A INPUT -p <tcp|udp> --dport <port> -j ACCEPT

# http, https
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
# ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT

# chmod +x /etc/init.d/firewall
# update-rc.d firewall start 01 2 .

Ensuite je paufine mon /etc/init.d/firewall, et je le lance le plus important c'est d'avoir autorisé le SSH entrant et les connexions déjà établies, afin d'être sûr de ne pas perdre le contrôle du serveur.
Le script sera relancé à chaque reboot du serveur, histoire de ne pas predre ces règles en cas de reboot intempestif (hard reboot du à une coupure électrique, ou une maintenance du staff, par exemple).

Dernière modification par naholyr (2006-05-16 00:36:14)

Attention, j'ai édité mon message précédent il y avait 2 erreurs dans le script :
- la chaine INPUT,OUTPUT est invalide (j'avais tapé ça de tête, erreur...)
- plus grave : la règle sur l'état ESTABLISHED,RELATED doit être ajoutée pour OUTPUT. En effet puisque je bloque les connexions sortantes, dans le cas de SSH (par exemple) le client envoie une requête sur le port 22 au serveur, elle est réceptionnée, mais le serveur ne peut pas répondre (puisque l'OUTPUT est bloqué par défaut) et la connexion n'est jamais établie. Cette règle permet d'autoriser le serveur à répondre à toute requête qui a été initialisée par le client (et donc autorisée en INPUT).

Donc gare à ne pas appliquer ce script sans l'avoir testé sur un serveur à la maison (de l'intérêt de l'entrainement).

Dernière modification par naholyr (2006-05-16 00:40:31)

iptables -L pour lister les règles, histoire de voir si tout ce qui doit être en place... est bien en place.

C'est qu'il y a 0 règles, là. On peut effectivement considéré que c'est léger.

Lien intéressant:  IpTables par l'exemple sur Lea-Linux.

Ciao,
LoneCat

dfuzion a écrit:

pourtant j'ai appliqué à la lettre les definitions de naholyr... le fait d'enregistrer le fichier firewall suffit ? ne faut-il pas déclarer ce fichier iptables quelques part pour que le serveur le prenne en compte ?

bon avant de poser plus de questions je prendre le temps de bien me documenter... mes suppositions ne vont pas m'amener à grand chose !

Comme on le voit, le fichier proposé par naholyr est un script shell.

Une fois créé (avec soin !) il faut le rendre exécutable:
$ chmod 700 monscript.sh

puis l'exécuter pour que les règles soient appliquées (c'est à dire que la commande iptables soit appelée pour chaque règle)

$ ./monscript.sh

Dans un premier temps, je ne le mettrais pas dans init.d/rcX.d, pour que justement il ne s'applique pas au démarrage. Comme ca, si tu te rates, tu vas dans ta console dedibox et tu lances un reboot de ta machine et hop plus de règles de filtrage.

Attention au copier/coller entre le forum et un fichier via putty/SSH. Tu risques d'avoir des retours à la ligne mal placés, etc...


C'est pour cà que je commenterais les lignes suivantes (ou je mettrais ACCEPT à la place de DROP) dans le fichier pour les premiers lancements du script:

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

# interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP

Ca supprime le filtrage (vu qu'on accepte tous les paquets du coup), mais ca permet de voir si toutes les règles sont bien en place et qu'on n'a pas d'erreur de syntaxe dans le fichier. Ca permet d'inspecter avec iptables -L la gueule des règles pour voir si ca semble OK.
Une fois que c'est bon, on décommente ces lignes pour remettre le filtrage par défaut puis on réapplique les règles à la main en relançant le script. Si tout beigne, on peut alors les rajouter au boot.