Forum Linux.mandriva Installation "plus sécurisé", mon serveur invisible sur le réseau

• # iptables

  Posté par Alexandre Dombrat le 22 avril 2005 à 09:55. Évalué à 2.

  

  Shorewall est en fait une interface à iptables (si j'ai bien compris shorewall car j'utilise directement iptables).
  Donc si tu veux vraiment savoir ce qui est autorisé/refusé sur ton firewall, essaie cette commande: iptables -L -v -n, elle t'affiche la totalité des règles pour la table filter. Tu y trouves la politique appliquée par défaut (DROP/ACCEPT par exemple), et pour chaque règle tu vois ce qui en est. Si l'icmp est refusé (ou pas accepté), alors le ping est impossible.
  
  En revanche, les ports ssh/http/... que tu ne souhaites pas visibles sur le réseau, c'est pour tout le réseau ou sur une seule interface de ton routeur ?

  • [^] # Re: iptables

    Posté par Bruce Le Nain (site web personnel) le 22 avril 2005 à 10:08. Évalué à 2.

    

    C'est pour tout le monde même en étant dans le même domaine en 192.168.1.0. Je ne peux me connecter qu'en local.

    • [^] # Re: iptables

      Posté par Bruce Le Nain (site web personnel) le 22 avril 2005 à 13:51. Évalué à 2.

      

      Voilà ce que me sort la commande :
      
      [root@intra courcouronnes]# iptables -L -v -n
      Chain INPUT (policy ACCEPT 71820 packets, 59M bytes)
      pkts bytes target prot opt in out source destination
      
      Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
      pkts bytes target prot opt in out source destination
      
      Chain OUTPUT (policy ACCEPT 38868 packets, 4208K bytes)
      pkts bytes target prot opt in out source destination

      • [^] # Re: iptables

        Posté par Alexandre Dombrat le 22 avril 2005 à 14:28. Évalué à 1.

        

        La règle par défaut est donc d'accepter les paquets. Ensuite, normalement, tu devrais avoir des règles spécifiant l'action à lancer selon le port, le type de trame (tcp/udp/icmp), l'interface et les adresses...
        Ici, tu n'as rien ! Donc tous les paquets passent, là c'est comme si tu n'avais pas de firewall !!
        
        Mieux vaut alors regarder si tu as des ports réellement ouverts: netstat -taupenl (affiche la liste des ports que ta machine écoute, et les connexion ouvertes).
        Si tu as des lignes avec les ports ssh, http... (se référer aux numéros de port respectifs), alors ça devrait normalement être possible de les atteindre (vu que tu n'as pas de règles de firewall...).

        • [^] # Re: iptables

          Posté par Bruce Le Nain (site web personnel) le 24 avril 2005 à 02:50. Évalué à 2.

          

          Merci pour votre aide !

  • [^] # Re: iptables

    Posté par or zax le 22 avril 2005 à 10:25. Évalué à 4.

    

    si tu ne veux pas faire d'accès distant désactive ssh, il te sert à rien, pour apache fait le écouter uniquement en localhost.
    
    La plupart des services sont inutiles si tu n'accèdes pas au moins de ton réseau local.
    
    Pour le ping ce n'est pas bien méchant, moi je l'ai bloqué au niveau de shorewall, mais au besoin suffit de supprimer la règle.
    
    
    Ta machine c'est pour faire un nat ?

    • [^] # Re: iptables

      Posté par Alexandre Dombrat le 22 avril 2005 à 11:58. Évalué à 2.

      

      La solution radicale comme le disait "or zax", est effectivement de désactiver les services dont tu n'as pas l'utilité. Ca évite la machine d'écouter les ports en question (ce qui reste une faille potentielle pour le cas où une attaque traverse le firewall...).
      Moins tu laisses de ports ouverts, mieux c'est !!
      
      Le ping n'est effectivement pas un pb important, le plus grave c'est l'accès à tes services...
      Tu peux d'ailleurs tester si tes ports peuvent être écoutés sur le réseau avec ce petit outil très sympa: nmap.

• # re : Installation "plus sécurisé", mon serveur invisible sur le réseau

  Posté par eggus le 22 avril 2005 à 15:44. Évalué à 3.

  

  par defaut en mode 'plus sécurisé' et 'paranoiaque' (niveau 4 et 5 de msec) le noyau ignore les requêtes icmp
  
  une liste des valeurs par defaut en fonction du niveau de msec disponible sur http://www.davideous.com/misc/david_harris_020723_msec_docs.html.gz(...)
  ainsi que dans un fichier texte dans les docs de la distrib
  
  pour celà il place une ligne du genre (de mémoire)
  net.ipv4.icmp_echo_ignore_all = 1 dans /etc/sysctl.conf
  
  donc tu as deux moyens de rendre ta machine pingable
  - temporairement : echo 0 > /proc/sys/net/ipv4/icmp_ignore_all
  - permanente : edite le fichier /etc/security/msec/level.local
  ce fichier est utilisé pour customiser les règles qu'applique msec quel que soit le niveau de sécurité choisi.
  Plus d'informations sur http://mandrake.vmlinuz.ca/bin/view/Main/MandrakeSecurity(...) par contre ca date un peu alors faudra peut etre y aller a taton et regarder ce qui se passe dans les logs Je crois qu'il requiert certaines permissions sur ce fichier aussi, enfin les messages dans les logs sont assez explicites (pour rafraichir la conf msec tu execute juste la commande msec {niveau})
  
  par contre dans ce niveau de securite il te faudra peut etre modifier ton fichier hosts.allow pour certains service aussi (openssh me vient a l'esprit)
  
  
  j'aime bien msec dommage que pour trouver de la documentation a jour c'est un peu la croix et la baniere, meme la page de man est antediluvienne

  • [^] # Re: re : Installation "plus sécurisé", mon serveur invisible sur le rés

    Posté par Bruce Le Nain (site web personnel) le 24 avril 2005 à 03:04. Évalué à 2.

    

    Jamais je n'aurais pensé à regarder dans msec, merci beaucoup !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.