Re: critique sur script iptables

To: debian-user-french@lists.debian.org
Subject: Re: critique sur script iptables
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Wed, 08 Mar 2006 17:05:34 +0100
Message-id: <[🔎] 440F00CE.1000903@plouf.fr.eu.org>
In-reply-to: <[🔎] 20060308144533.67867.qmail@web26315.mail.ukl.yahoo.com>
References: <[🔎] 20060308144533.67867.qmail@web26315.mail.ukl.yahoo.com>

Salut,

J'ai ajouté "iptables" dans le sujet afin qu'il soit plus explicite.

Christophe Delcenserie a écrit :

J'aimerais que de l'exterieur on puisse acceder a mon serveur web,

  et que les machines dans mon lan puissent aller sur le net.
  Je souhaite la sortie que de quelques ports et que de l'exterieur,
  on n'accepte pas a mon lan.


Il faudrait que tu précises quelques points :
- à quelle machine est destiné ce script ? la passerelle internet ?
- où est le serveur web ? sur une machine du LAN ?

[...]

  # Je veux que les connexions destinées à être forwardées soient acceptées par défaut
  iptables -P FORWARD ACCEPT


Ça commence mal si tu veux restreindre le trafic entre internet et ton LAN !

###############################################################################

# INPUT###############################################################################

# ppp0
###############################################################################
# Detruit les connexions sur ppp0 <- Internet qui aurait pour adr_ip celles d'une classe privée !
# Une variante de 'no-spoofing' !
iptables -A INPUT -i ppp+ -s 127.0.0.0/8  -j log_input_wan_drop # adr de Loopback

[etc.]

Tu fais comme tu veux, mais à quoi cela va-t-il te servir de logger despaquets dont l'adresse source est spoofée ?


[...]

# J'autorise les connexions TCP entrantes sur le port 22 uniquement sur l'interface "eth0"
# (pour que mon serveur Ssh soit joignable depuis mon LAN seulement)
iptables -A INPUT -p tcp -i eth0 --dport ssh -j log_input_lan_accept

Encore une fois tu fais comme tu veux, mais est-il vraiment souhataiblede logger *tous* les paquets des connexions SSH provenant du LAN ?Le premier, je ne dis pas - et encore, il y a déjà les logs de sshd -mais les suivants ?

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -i eth0 -j log_input_lan_accept
iptables -A INPUT -m state --state RELATED,ESTABLISHED -i ppp+ -j log_input_wan_accept

Ces règles devraient être placées en tête de la chaîne pour un maximumd'efficacité.Je pose à nouveau la question de l'opportunité de logger *tous* lespaquets entrants acceptés.

# pour le reste on supprime
iptables -A INPUT -i eth0 -j log_input_lan_drop
iptables -A INPUT -i ppp+ -j log_input_wan_drop


Brutal, expéditif, et contraire aux normes. En un mot, mauvais.

Je me permets de citer l'excellente réponse faite aujourd'hui par uncontributeur dans le forum Usenet news:fr.comp.os.linux.configuration :

"Dans un soucis de transparence (la sécurité par l'obscurantismen'existe pas), de respect des normes (RFC), de courtoisie (répondrepoliment à une connexion erronée) et de confort (répondre au lieu defaire attendre inutilement ; timeout), un firewall avec une bonnepolitique devrait répondre à ces deux principes :

- Ne devraient être bloqués/ignorés (DROP) que les paquets dontl'état est INVALID, dont l'adresse est usurpée ou dont le type estsuspicieux.- Devraient être rejetés (REJECT), avec le bon message (TCP RST pourTCP, ICMP port unreachable pour UDP, ICMP protocol unreachable pour unprotocole autre, ...), les paquets dont l'état est valide (! INVALID)mais qu'on ne veut pas accepter.

Enfin, comme je le sous-entendais précédemment, pour limiter lesattaques qui pourraient conduire à un trafic montant important, on peututiliser le match limit d'iptables afin de limiter le nombre de REJECTémis."


[...]

###############################################################################
# J'accepte les packets sortants pour internet :iptables -A OUTPUT -o ppp+ -p tcp --dport 20 -m state --state ! INVALID -j log_output_wan_accept # ftp data

Si c'est pour du FTP actif, cette règle est inutile si le module desuivi FTP ip_conntrack_ftp est chargé.

iptables -A OUTPUT -o ppp+ -p tcp --dport 21  -m state --state ! INVALID -j log_output_wan_accept  # ftp
iptables -A OUTPUT -o ppp+ -p tcp --dport 25  -m state --state ! INVALID -j log_output_wan_accept  # smtp

[etc.]

Quelle lourdeur ! Pourquoi ne pas commencer par une règle qui bloque lespaquets invalides ? Après, on n'en parle plus. On peut aussi utiliserune chaîne utilisateur pour regrouper des règles ayant des paramètrescommuns.

Je réitère mon interrogation sur l'intérêt de tout logger.

# J'accepte les packets sortants relatifs à des connexions déjà établies
# iptables -A OUTPUT -o ppp+ -m state --state RELATED,ESTABLISHED -j log_output_wan_accept


Comme précédemment, cette règle devrait se trouver en début de chaîne.

[...]

# J'autorise les connexions TCP sortantes sur le port 22 uniquement sur l'interface "eth0"
# (pour que mon serveur Ssh soit joignable depuis mon LAN seulement)
iptables -A OUTPUT -o eth0 -p tcp --dport 22  -m state --state ! INVALID -j log_output_lan_accept # ssh

Si tu veux que le serveur SSH puisse répondre, il faut accepter le port*source* 22 (--sport), pas le port destination.Accessoirement, cette règle acceptera n'importe quel paquet validepourvu qu'il ait le port source 22. Pas terrible. Je sais bien que c'estun port privilégié et que sshd écoute déjà dessus, mais pas terriblequand même dans le principe. Le suivi de connexion sert justement àéviter ce genre de choses.

# pour le reste on supprime
iptables -A OUTPUT -o eth0 -j log_output_lan_drop

Et dans "le reste", il y a des messages ICMP utiles dont le blocage peutcauser des désagréments. Une règle acceptant les paquets appartenant ourelatifs aux connexions établies, comme pour ppp+ et dans INPUT, seraitpréférable. De plus elle rendrait inutile la règle acceptant les paquetsémis par le serveur SSH.


[...]

# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l'IP est 192.168.0.3 sur son port 80
# (la réponse à la requête sera forwardée au client)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

Rappel : il n'y a aucune règle de filtrage ni de log dans la chaîneFORWARD et la politique par défaut est ACCEPT : cela signifie que *tout*le trafic dans les deux sens entre internet et le LAN (y compris lesadresses sources spoofées, les paquets invalides...) est accepté sanstrace. J'espère au moins que chaque machine du LAN dispose de son proprejeu de règles de filtrage.

Reply to:

References:
- critique sur script
  - From: Christophe Delcenserie <delcenseriechristophe@yahoo.fr>

Prev by Date: grub, mbr
Next by Date: Re: grub, mbr
Previous by thread: Re: critique sur script
Next by thread: Re: dvdrip : fichier avi créé partiellement
Index(es):
- Date
- Thread