avis sur script firewall

avis sur script firewall - Linux et OS Alternatifs

Marsh Posté le 27-11-2001 à 10:23:19    

Code :
  1. #2001/11/27
  2. #Test firewall with some rules for Candiulb.be
  3. #Server will act as a gateway and host some services : http, ftp, ircd, dns
  5. #Iptables Path
  6. IPTABLES="/sbin/iptables"
  9. ##################################################
  10. ####
  11. #First, we flush everything to avoid duplicate chains#
  12. ######################################################
  14. #
  15. # reset the default policies in the filter table.
  16. #
  17. $IPTABLES -P INPUT ACCEPT
  18. $IPTABLES -P FORWARD ACCEPT
  19. $IPTABLES -P OUTPUT ACCEPT
  21. #
  22. # reset the default policies in the nat table.
  23. #
  24. $IPTABLES -t nat -P PREROUTING ACCEPT
  25. $IPTABLES -t nat -P POSTROUTING ACCEPT
  26. $IPTABLES -t nat -P OUTPUT ACCEPT
  28. #
  29. # flush all the rules in the filter and nat tables.
  30. #
  31. $IPTABLES -F
  32. $IPTABLES -t nat -F
  34. #
  35. # erase all chains that's not default in filter and nat table.
  36. #
  37. $IPTABLES -X
  38. $IPTABLES -t nat -X
  40. #####################################
  41. #Enabling nat for my private network#
  42. #####################################
  44. $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  46. echo 1 > /proc/sys/net/ipv4/ip_forward
  48. ######################
  49. #Set Default Policies#
  50. ######################
  52. $IPTABLES -P INPUT DROP
  53. $IPTABLES -P OUTPUT DROP
  54. $IPTABLES -P FORWARD ACCEPT
  56. #######################
  57. #Some trustly services#
  58. #######################
  60. $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT #ftp
  61. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
  62. $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT #imap
  63. $IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT #domain
  64. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT #http
  65. $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
  66. #iptables -A INPUT -p tcp --dport 587 -j ACCEPT            ##Vraiment nécessaire ?
  67. $IPTABLES -A INPUT -p tcp --dport 3333 -j ACCEPT #Decnote
  68. $IPTABLES -A INPUT -p tcp --dport 6667 -j ACCEPT #irc
  70. ######################
  71. #Some untrustly ports#
  72. ######################
  74. PORT="137:139 2049 6000:6063 20034 12345:12346 27374 27665 27444 31335 10498 12754 12345:12346 "
  76. $IPTABLES -A INPUT -p tcp --dport $PORT -j DROP
  77. $IPTABLES -A INPUT -p tcp --sport $PORT -j DROP
  79. $IPTABLES -A INPUT -p tcp --dport 113 -j REJECT \
  80.  --reject-with tcp-reset
  82. #######################
  83. #ICMP related security#
  84. #######################
  86. $IPTABLES -N ALLOW_ICMP
  87. $IPTABLES -F ALLOW_ICMP
  89. ## Echo Reply (pong)
  90. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type echo-reply -j ACCEPT
  92. ## Destination Unreachable
  93. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type destination-unreachable \
  94.  -j ACCEPT
  96. ## Accept Pings ##
  97. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type echo-request -j ACCEPT
  99. ## TTL Exceeded (traceroute)
  100. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
  102. ################################
  103. # Reserved/Private IP Addresses#
  104. ################################
  106.    RESERVED_NET="
  107. 0.0.0.0/8 1.0.0.0/8 2.0.0.0/8 \
  108. 5.0.0.0/8 \
  109. 7.0.0.0/8 \
  110.         10.0.0.0/8 \
  111. 23.0.0.0/8 \
  112. 27.0.0.0/8 \
  113. 31.0.0.0/8 \
  114. 36.0.0.0/8 37.0.0.0/8 \
  115. 39.0.0.0/8 \
  116. 41.0.0.0/8 42.0.0.0/8 \
  117. 58.0.0.0/8 59.0.0.0/8 60.0.0.0/8 \
  118. 67.0.0.0/8 68.0.0.0/8 69.0.0.0/8 70.0.0.0/8 71.0.0.0/8 72.0.0.0/8 73.0.0.0/8 \
  119. 74.0.0.0/8 75.0.0.0/8 76.0.0.0/8 77.0.0.0/8 78.0.0.0/8 79.0.0.0/8 \
  120. 82.0.0.0/8 83.0.0.0/8 84.0.0.0/8 85.0.0.0/8 86.0.0.0/8 87.0.0.0/8 \
  121. 88.0.0.0/8 89.0.0.0/8 90.0.0.0/8 91.0.0.0/8 92.0.0.0/8 93.0.0.0/8 94.0.0.0/8 \
  122. 95.0.0.0/8 96.0.0.0/8 97.0.0.0/8 98.0.0.0/8 99.0.0.0/8 100.0.0.0/8 101.0.0.0/8 \
  123. 102.0.0.0/8 103.0.0.0/8 104.0.0.0/8 105.0.0.0/8 106.0.0.0/8 107.0.0.0/8 \
  124. 108.0.0.0/8 109.0.0.0/8 110.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 \
  125. 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8 119.0.0.0/8 \
  126. 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 \
  127. 126.0.0.0/8 127.0.0.0/8 \
  128.         172.16.0.0/12 \
  129.         192.168.0.0/16 \
  130. 197.0.0.0/8 \
  131. 201.0.0.0/8 \
  132. 219.0.0.0/8 220.0.0.0/8 221.0.0.0/8 222.0.0.0/8 223.0.0.0/8 \
  133. 240.0.0.0/8 241.0.0.0/8 242.0.0.0/8 243.0.0.0/8 244.0.0.0/8 245.0.0.0/8 \
  134. 246.0.0.0/8 247.0.0.0/8 248.0.0.0/8 249.0.0.0/8 250.0.0.0/8 251.0.0.0/8 \
  135. 252.0.0.0/8 253.0.0.0/8 254.0.0.0/8 255.0.0.0/8"
  137. for NET in $RESERVED_NET; do
  138.     $IPTABLES -t nat -A PREROUTING -i eth1 -s $NET -j DROP
  139. done
  141. ############
  142. #Some Stuff#
  143. ############
  145. $IPTABLES -A INPUT -i lo -j ACCEPT
  147. #Regle Spéciale portforwarding
  149. $IPTABLES -A PREROUTING -t nat -p tcp -d $EXT_IP --dport 23 \
  150.          -j DNAT --to $EXT_IP:6667
  152. #SNAT
  153. $IPTABLES -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 212.68.*.*  #mask for now


 
J'aimerais avoir votre avis pour ce début de firewall
Je me suis inspiré un peu partout
Est-ce que la section #Some untrustly ports# est nécessaire étant donné que par défaut tout en INPUT est DROP ?
Merci d'avance !

Reply

Marsh Posté le 27-11-2001 à 10:23:19   

Reply

Marsh Posté le 27-11-2001 à 14:22:56    

- met toutes les polices par défaut à DROP (output à la limite en ACCEPT)
tout tes "-j ACCEPT" ne servent à rien, puisque tu acceptes tout par défaut ;) soit tu mets tes polices à DROP par défaut, et que des -j ACCEPT, soit tu mets tes polices à ACCEPT par défaut et tu n'utilises que des -j DROP.  
(dans la plupart des cas)  
(je suis chiant hein! ;)
 
- tu acceptes les pings ? c mieux pas, mais bon...
 
- ça fonctionne ça ??
PORT="137:139 2049 6000:6063 20034 12345:12346 27374 27665 27444 31335 10498 12754 12345:12346 "  
$IPTABLES -A INPUT -p tcp --dport $PORT -j DROP  
...
il faut pas ajouter -m multiport ou qq ch du genre ?
 
- $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE  
et  
$IPTABLES -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 212.68.*.*  #mask for now
veulent dire la même chose non ? ça masque ton ip interne avec ton ip externe.
sinon, c'est un bon début.

Reply

Marsh Posté le 27-11-2001 à 15:37:29    

Pour les polices, elles étaient déjà à DROP par défaut sauf pour la forward (à ne pas confondre avec les Flushs).
Pour le multiports, je crois que ca doit marcher comme ca.
J'ai résolu le truc de ping je crois
Pour bien faire, que faut-il encore mettre ?
 

Code :
  1. #2001/11/27
  2. #Test firewall with some rules for Candiulb.be
  3. #Server will act as a gateway and host some services : http, ftp, ircd, dns
  5. #Iptables Path
  6. IPTABLES="/sbin/iptables"
  9. ##################################################
  10. ####
  11. #First, we flush everything to avoid duplicate chains#
  12. ######################################################
  14. #
  15. # reset the default policies in the filter table.
  16. #
  17. $IPTABLES -P INPUT ACCEPT
  18. $IPTABLES -P FORWARD ACCEPT
  19. $IPTABLES -P OUTPUT ACCEPT
  21. #
  22. # reset the default policies in the nat table.
  23. #
  24. $IPTABLES -t nat -P PREROUTING ACCEPT
  25. $IPTABLES -t nat -P POSTROUTING ACCEPT
  26. $IPTABLES -t nat -P OUTPUT ACCEPT
  28. #
  29. # flush all the rules in the filter and nat tables.
  30. #
  31. $IPTABLES -F
  32. $IPTABLES -t nat -F
  34. #
  35. # erase all chains that's not default in filter and nat table.
  36. #
  37. $IPTABLES -X
  38. $IPTABLES -t nat -X
  40. #########################Firewall Begin####################
  42. #####################################
  43. #Enabling nat for my private network#
  44. #####################################
  46. $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  48. echo 1 > /proc/sys/net/ipv4/ip_forward
  50. ######################
  51. #Set Default Policies#
  52. ######################
  54. $IPTABLES -P INPUT DROP
  55. $IPTABLES -P OUTPUT DROP
  56. $IPTABLES -P FORWARD ACCEPT
  58. #######################
  59. #Some trustly services#
  60. #######################
  62. $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT #ftp
  63. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
  64. $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT #imap
  65. $IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT #domain
  66. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT #http
  67. $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
  68. #iptables -A INPUT -p tcp --dport 587 -j ACCEPT  ##Vraiment nécessaire ?
  69. $IPTABLES -A INPUT -p tcp --dport 3333 -j ACCEPT #Decnote
  70. $IPTABLES -A INPUT -p tcp --dport 6667 -j ACCEPT #irc
  72. ######################
  73. #Some untrustly ports#
  74. ######################
  76. U-PORT="137:139 2049 6000:6063 20034 12345:12346 27374 27665 27444 31335 10498 12754 12345:12346"
  77. for PORT in $U-PORT; do
  78.  $IPTABLES -A INPUT -p tcp --dport $PORT -j DROP
  79.  $IPTABLES -A INPUT -p tcp --sport $PORT -j DROP
  80. done
  82. $IPTABLES -A INPUT -p tcp --dport 113 -j REJECT \
  83.  --reject-with tcp-reset
  85. #######################
  86. #ICMP related security#
  87. #######################
  89. $IPTABLES -N ALLOW_ICMP
  90. $IPTABLES -F ALLOW_ICMP
  92. ## Echo Reply (pong)
  93. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type echo-reply -j ACCEPT
  95. ## Destination Unreachable
  96. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type destination-unreachable \
  97.  -j ACCEPT
  99. ## Accept Pings ##
  100. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type echo-request -j ACCEPT
  102. ## TTL Exceeded (traceroute)
  103. $IPTABLES -A ALLOW_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
  105. ## Ping Flood
  106. $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
  107. $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
  109. ################################
  110. # Reserved/Private IP Addresses#
  111. ################################
  113.    RESERVED_NET="
  114. 0.0.0.0/8 1.0.0.0/8 2.0.0.0/8 \
  115. 5.0.0.0/8 \
  116. 7.0.0.0/8 \
  117.         10.0.0.0/8 \
  118. 23.0.0.0/8 \
  119. 27.0.0.0/8 \
  120. 31.0.0.0/8 \
  121. 36.0.0.0/8 37.0.0.0/8 \
  122. 39.0.0.0/8 \
  123. 41.0.0.0/8 42.0.0.0/8 \
  124. 58.0.0.0/8 59.0.0.0/8 60.0.0.0/8 \
  125. 67.0.0.0/8 68.0.0.0/8 69.0.0.0/8 70.0.0.0/8 71.0.0.0/8 72.0.0.0/8 73.0.0.0/8 \
  126. 74.0.0.0/8 75.0.0.0/8 76.0.0.0/8 77.0.0.0/8 78.0.0.0/8 79.0.0.0/8 \
  127. 82.0.0.0/8 83.0.0.0/8 84.0.0.0/8 85.0.0.0/8 86.0.0.0/8 87.0.0.0/8 \
  128. 88.0.0.0/8 89.0.0.0/8 90.0.0.0/8 91.0.0.0/8 92.0.0.0/8 93.0.0.0/8 94.0.0.0/8 \
  129. 95.0.0.0/8 96.0.0.0/8 97.0.0.0/8 98.0.0.0/8 99.0.0.0/8 100.0.0.0/8 101.0.0.0/8 \
  130. 102.0.0.0/8 103.0.0.0/8 104.0.0.0/8 105.0.0.0/8 106.0.0.0/8 107.0.0.0/8 \
  131. 108.0.0.0/8 109.0.0.0/8 110.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 \
  132. 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8 119.0.0.0/8 \
  133. 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 \
  134. 126.0.0.0/8 127.0.0.0/8 \
  135.         172.16.0.0/12 \
  136.         192.168.0.0/16 \
  137. 197.0.0.0/8 \
  138. 201.0.0.0/8 \
  139. 219.0.0.0/8 220.0.0.0/8 221.0.0.0/8 222.0.0.0/8 223.0.0.0/8 \
  140. 240.0.0.0/8 241.0.0.0/8 242.0.0.0/8 243.0.0.0/8 244.0.0.0/8 245.0.0.0/8 \
  141. 246.0.0.0/8 247.0.0.0/8 248.0.0.0/8 249.0.0.0/8 250.0.0.0/8 251.0.0.0/8 \
  142. 252.0.0.0/8 253.0.0.0/8 254.0.0.0/8 255.0.0.0/8"
  144. for NET in $RESERVED_NET; do
  145.     $IPTABLES -t nat -A PREROUTING -i eth1 -s $NET -j DROP
  146. done
  148. ############
  149. #Some Stuff#
  150. ############
  152. $IPTABLES -A INPUT -i lo -j ACCEPT
  154. #Regle Spéciale portforwarding
  156. $IPTABLES -A PREROUTING -t nat -p tcp -d 212.68.*.* --dport 23 \
  157.          -j DNAT --to 212.68.*.*:6667

Reply

Marsh Posté le 27-11-2001 à 16:00:34    

oups j'avais pas vu que tu les redéclarais ;) (une fois suffit)
 
sinon, il te manque la limitation de forwarding... pour le moment n'importe devrait pouvoir utiliser ton pc comme passerelle pour accéder à ton réseau interne ou même à un autre pc d'internet (me demande pas comment, mazis je l'ai lu)
 
faudrait aussi utiliser ta chaine ALLOW_ICMP (-j ALLOW_ICMP)
pour le moment elle est déclarée mais tu ne t'en serts pas (ou bien j'ai encore mal lu ?)
 
utilisation des états (state : new, relate, established, invalid)
 
activer les options de protections du kernel (syn_coockies, ...)

Reply

Marsh Posté le 27-11-2001 à 17:43:44    

Bon, il va falloir que je potasse un peu pour completer tout celà...
J'ai même tenté d'éditer ton firewall pour l'adapter à mon serveur mais j'y comprends rien ;)
Si jamais t'as un peu de temps à y consacrer, je veux bien que tu édites ce que j'ai déjà modifié au tien (si tu me le permets). Si tu me passes ton adresse mail je peux déjà t'envoyer ce que j'ai fait  :wahoo:  
Entre belges ;)

Reply

Marsh Posté le 27-11-2001 à 17:58:46    

si tu savais le nombre de nuit que j'ai passé là dessus ;)  :sol:  
 
tien v'la en core un beau lien (si tu n'est pas anglophobe)
http://www.cs.princeton.edu/~jns/s [...] tml#CONFIG
il explique le contenu d'un firewall, ça permet de mieux comprendre encore.
 
PS :je t'ai envoyé mon adresse en privé

Reply

Marsh Posté le 27-11-2001 à 18:40:37    

Merci pour ton lien et pour ton email, je regarde tout cà et je t'envoye le feedback ;)
Merci pour tout

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed