[HS] Help pour débuter avec iptables

To: debian-user-french@lists.debian.org
Subject: [HS] Help pour débuter avec iptables
From: giggzounet <giggzounet@gmail.com>
Date: Fri, 10 Sep 2010 08:58:56 +0200
Message-id: <[🔎] i6ckvh$51v$1@dough.gmane.org>

Bonjour,

suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
d'aide pour débuter. J'ai tenté ma chance sur la list de
netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.

j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
parefeu sur le master node. Naturellement le master doit accepter tout
ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
l'extérieur soit filtré à part qqs services comme ssh et http.

pour l'instant j'ai ça:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Firewall-1-INPUT - [0:0]
-A INPUT -j Firewall-1-INPUT
-A FORWARD -j Firewall-1-INPUT
#
#
-A INPUT -j Firewall-1-INPUT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
--name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
"SSH_brute_force "
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j DROP
#
#
-A Firewall-1-INPUT -i lo -j ACCEPT
#
# begin: allowed networks
# Intern Network
-A Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT
#
-A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -p esp -j ACCEPT
-A Firewall-1-INPUT -p ah -j ACCEPT
-A Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A Firewall-1-INPUT -j LOG
-A Firewall-1-INPUT -j DROP
COMMIT



Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
des idées...je suis preneur.



UNe autre question:
si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? dois
je mettre les mêmes rêgles ?

Merci d'avance,
BOnne journée
Guillaume

Reply to:

Follow-Ups:
- Re: [HS] Help pour débuter avec iptables
  - From: moi-meme <chiebel@free.fr>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: boîtier ITX
Next by Date: Re: boîtier ITX
Previous by thread: Re: boîtier ITX
Next by thread: Re: [HS] Help pour débuter avec iptables
Index(es):
- Date
- Thread