Retourner aux forums || Retourner au forum Linux.mandriva
Linux.mandriva : Installation "plus sécurisé", mon serveur invisible sur le réseau
Posté par Bruce Le Nain (Jabber id, page perso, ) le 22 avril 2005Je croyais que c'était Shorewall qui bloquait tout ça, mais après avoir désactivé shorewall, rien n'était changé. Quelqu'un peut-il m'aider, siouplait ?
> Lire le message (9 commentaires, moyenne: 2,2).
iptables
Shorewall est en fait une interface à iptables (si j'ai bien compris shorewall car j'utilise directement iptables).
Donc si tu veux vraiment savoir ce qui est autorisé/refusé sur ton firewall, essaie cette commande: iptables -L -v -n, elle t'affiche la totalité des règles pour la table filter. Tu y trouves la politique appliquée par défaut (DROP/ACCEPT par exemple), et pour chaque règle tu vois ce qui en est. Si l'icmp est refusé (ou pas accepté), alors le ping est impossible.
En revanche, les ports ssh/http/... que tu ne souhaites pas visibles sur le réseau, c'est pour tout le réseau ou sur une seule interface de ton routeur ?
Un serveur sûr est une machine éteinte enfermée dans un coffre, et encore...
-
[^]Re: iptables
Posté par Bruce Le Nain (Jabber id, page perso, ) le 22/04/2005 à 08:08. (lien). Évalué à 2.C'est pour tout le monde même en étant dans le même domaine en 192.168.1.0. Je ne peux me connecter qu'en local.
-
[^]Re: iptables
Posté par Bruce Le Nain (Jabber id, page perso, ) le 22/04/2005 à 11:51. (lien). Évalué à 2.Voilà ce que me sort la commande :
[root@intra courcouronnes]# iptables -L -v -n
Chain INPUT (policy ACCEPT 71820 packets, 59M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 38868 packets, 4208K bytes)
pkts bytes target prot opt in out source destination-
[^]Re: iptables
Posté par Alexandre () le 22/04/2005 à 12:28. (lien). Évalué à 1.La règle par défaut est donc d'accepter les paquets. Ensuite, normalement, tu devrais avoir des règles spécifiant l'action à lancer selon le port, le type de trame (tcp/udp/icmp), l'interface et les adresses...
Ici, tu n'as rien ! Donc tous les paquets passent, là c'est comme si tu n'avais pas de firewall !!
Mieux vaut alors regarder si tu as des ports réellement ouverts: netstat -taupenl (affiche la liste des ports que ta machine écoute, et les connexion ouvertes).
Si tu as des lignes avec les ports ssh, http... (se référer aux numéros de port respectifs), alors ça devrait normalement être possible de les atteindre (vu que tu n'as pas de règles de firewall...).--
Un serveur sûr est une machine éteinte enfermée dans un coffre, et encore...-
[^]Re: iptables
Posté par Bruce Le Nain (Jabber id, page perso, ) le 24/04/2005 à 00:50. (lien). Évalué à 2.Merci pour votre aide !
-
-
-
-
[^]Re: iptables
Posté par or zax () le 22/04/2005 à 08:25. (lien). Évalué à 4.si tu ne veux pas faire d'accès distant désactive ssh, il te sert à rien, pour apache fait le écouter uniquement en localhost.
La plupart des services sont inutiles si tu n'accèdes pas au moins de ton réseau local.
Pour le ping ce n'est pas bien méchant, moi je l'ai bloqué au niveau de shorewall, mais au besoin suffit de supprimer la règle.
Ta machine c'est pour faire un nat ?-
[^]Re: iptables
Posté par Alexandre () le 22/04/2005 à 09:58. (lien). Évalué à 2.La solution radicale comme le disait "or zax", est effectivement de désactiver les services dont tu n'as pas l'utilité. Ca évite la machine d'écouter les ports en question (ce qui reste une faille potentielle pour le cas où une attaque traverse le firewall...).
Moins tu laisses de ports ouverts, mieux c'est !!
Le ping n'est effectivement pas un pb important, le plus grave c'est l'accès à tes services...
Tu peux d'ailleurs tester si tes ports peuvent être écoutés sur le réseau avec ce petit outil très sympa: nmap.--
Un serveur sûr est une machine éteinte enfermée dans un coffre, et encore...
-
re : Installation "plus sécurisé", mon serveur invisible sur le réseau
par defaut en mode 'plus sécurisé' et 'paranoiaque' (niveau 4 et 5 de msec) le noyau ignore les requêtes icmp
une liste des valeurs par defaut en fonction du niveau de msec disponible sur http://www.davideous.com/misc/david_harris_020723_msec_docs.html.gz(...)
ainsi que dans un fichier texte dans les docs de la distrib
pour celà il place une ligne du genre (de mémoire)
net.ipv4.icmp_echo_ignore_all = 1 dans /etc/sysctl.conf
donc tu as deux moyens de rendre ta machine pingable
- temporairement : echo 0 > /proc/sys/net/ipv4/icmp_ignore_all
- permanente : edite le fichier /etc/security/msec/level.local
ce fichier est utilisé pour customiser les règles qu'applique msec quel que soit le niveau de sécurité choisi.
Plus d'informations sur http://mandrake.vmlinuz.ca/bin/view/Main/MandrakeSecurity(...) par contre ca date un peu alors faudra peut etre y aller a taton et regarder ce qui se passe dans les logs Je crois qu'il requiert certaines permissions sur ce fichier aussi, enfin les messages dans les logs sont assez explicites (pour rafraichir la conf msec tu execute juste la commande msec {niveau})
par contre dans ce niveau de securite il te faudra peut etre modifier ton fichier hosts.allow pour certains service aussi (openssh me vient a l'esprit)
j'aime bien msec dommage que pour trouver de la documentation a jour c'est un peu la croix et la baniere, meme la page de man est antediluvienne
-
[^]Re: re : Installation "plus sécurisé", mon serveur invisible sur le rés
Posté par Bruce Le Nain (Jabber id, page perso, ) le 24/04/2005 à 01:04. (lien). Évalué à 2.Jamais je n'aurais pensé à regarder dans msec, merci beaucoup !
Revenir en haut de page || Retourner aux forums || Retourner au forum Linux.mandriva
Cette page a été générée par Templeet en 0.0592s (dont 0.0044 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.