Filtrage iptables (netfilter) qui ne fonctionne pas (???)

Filtrage iptables (netfilter) qui ne fonctionne pas (???) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 06-01-2010 à 17:15:09    

Bonjour à tous,
 
Je sèche complètement sur le problème suivant...
 
Sur mon serveur privé, je voudrais interdire des IP (de spammeurs) par des règles Iptables.
 
Mais en testant déjà avec l'IP aa.bbb.ccc.dd, je constate que rien ne marche, alors que la règle se retrouve bien dans les iptables après visualisation de celles-ci !!!
 
J'ai tout essayé, enfin je crois :
iptables -A INPUT -i eth1 -s aa.bbb.ccc.dd -j DROP
ainsi que :
iptables -A INPUT -s aa.bbb.0.0/16 -j DROP  ou :  iptables -A INPUT -i eth1 -s aa.bbb.0.0/16 -j DROP
(pour interdire carrément toutes les IPs de la plage aa.bbb.0.0 à aa.bbb.255.255)
Rien à faire : l'IP aa.bbb.ccc.dd arrive toujours à accéder à mon site, nous envoyer des mails, faire du FTP... !
 
Est-ce que ces règles sont mal écrites ? Je suppose qu'une fois rentrées (en SSH), l'application est immédiate ?
Dans le cas contraire, qu'est ce qui peut clocher ?
 
MERCI DE VOTRE AIDE !

Reply

Marsh Posté le 06-01-2010 à 17:15:09   

Reply

Marsh Posté le 06-01-2010 à 19:15:23    

Voici mon iptables-save, aussitot après un redémarrage du serveur (donc effacement des anciennes iptables et nouvelles iptables créées par défaut) et l'ajout de la règle perso : -A INPUT -s aa.bbb.ccc.dd -j DROP
(juste avant : -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT)
 
Est-ce que cette règle se met (automatiquement...) à la bonne place ?
Faut-il appliquer autre chose ?
 
MERCI POUR VOTRE AIDE.
 

Code :
  1. # Generated by iptables-save v1.3.8 on Wed Jan  6 19:06:39 2010
  2. *mangle
  3. :PREROUTING ACCEPT [222022:174104224]
  4. :INPUT ACCEPT [222022:174104224]
  5. :FORWARD ACCEPT [0:0]
  6. :OUTPUT ACCEPT [237945:251465799]
  7. :POSTROUTING ACCEPT [237288:251439262]
  8. COMMIT
  9. # Completed on Wed Jan  6 19:06:39 2010
  10. # Generated by iptables-save v1.3.8 on Wed Jan  6 19:06:39 2010
  11. *filter
  12. :INPUT DROP [0:0]
  13. :FORWARD DROP [0:0]
  14. :OUTPUT DROP [0:0]
  15. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  16. -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
  17. -A INPUT -m state --state INVALID -j DROP
  18. -A INPUT -i lo -j ACCEPT
  19. -A INPUT -p tcp -m tcp --dport 49152:65534 -j ACCEPT
  20. -A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
  21. -A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT
  22. -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
  23. -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
  24. -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
  25. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
  26. -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
  27. -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
  28. -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
  29. -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
  30. -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
  31. -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
  32. -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
  33. -A INPUT -p tcp -m tcp --dport 106 -j ACCEPT
  34. -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
  35. -A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
  36. -A INPUT -p tcp -m tcp --dport 9008 -j ACCEPT
  37. -A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT
  38. -A INPUT -p udp -m udp --dport 137 -j ACCEPT
  39. -A INPUT -p udp -m udp --dport 138 -j ACCEPT
  40. -A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
  41. -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
  42. -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
  43. -A INPUT -p udp -m udp --dport 53 -j ACCEPT
  44. -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
  45. -A INPUT -p icmp -m icmp --icmp-type 8/0 -j DROP
  46. -A INPUT -j ACCEPT
  47. -A INPUT -s aa.bbb.ccc.dd -j DROP
  48. -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  49. -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
  50. -A FORWARD -m state --state INVALID -j DROP
  51. -A FORWARD -i lo -o lo -j ACCEPT
  52. -A FORWARD -j DROP
  53. -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  54. -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
  55. -A OUTPUT -m state --state INVALID -j DROP
  56. -A OUTPUT -o lo -j ACCEPT
  57. -A OUTPUT -j ACCEPT
  58. COMMIT
  59. # Completed on Wed Jan  6 19:06:39 2010
  60. # Generated by iptables-save v1.3.8 on Wed Jan  6 19:06:39 2010
  61. *nat
  62. :PREROUTING ACCEPT [3319:180747]
  63. :POSTROUTING ACCEPT [2418:153344]
  64. :OUTPUT ACCEPT [2369:151384]
  65. COMMIT
  66. # Completed on Wed Jan  6 19:06:39 2010

Reply

Marsh Posté le 06-01-2010 à 20:38:30    

si tu rajoutes une règle, celle ci sera ajoutée à la fin de la liste de la chaîne en question.
lorsqu'un paquet arrive, les règles sont appliquées à ce paquet séquentiellement et s'arrêtent dès qu'une match puis applique la politique définie (accept/drop)

 

=> si tu rajoutes à la fin (par défaut les règles sont ajoutées à la fin), et qu'avant tu aies une règle qui matche ton trafic, ta règle nouvellement ajoutée ne sert à rien.

 

En l'occurence, juste avant ta règle en rouge tu as
-A INPUT -j ACCEPT
=> tu acceptes tous en input...
=> la règle qui suit, pour l'input, ne sera jamais appliquée...

 

revois le man et recherche l'option qui permet d'insérer (tips, insérer commence par un I) une règle où tu veux.

 

Au passage, ton firewall est un vrai gruyère... ta polique est à drop en input, mais tu acceptes tout :D


Message édité par o'gure le 06-01-2010 à 20:39:01

---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed