Un petit effort en francais stp !
1- Pourquoi ne pas mettre au moins l'entiereté du start) ?
2 - Quel est le rapport secret entre les droits d'acces sur les répertoires et ton firewall ?

--
Brugmans Frédéric

[www.brugmans.net]
[triathlon.sport-challenge.be]

Poste le Sunday 29 May 2005 21:48:15

ok voila l 'entierete de mon parefeu:

#! /bin/sh
#chkconfig: 2345 55 57


#source function library.
. /etc/rc.d/init.d/functions

SYSCONF_FILE=/var/lock/subsys/parefeu
# See how we were called.
case "$1" in

start)
gprintf "Starting parefeu : "
# ajoute tes commandes ici...

# Activation de la protection contre le spoofing
# et le syn flood ( Normalement deja fait dans /etc/network/options )

echo -n 1 > /proc/sys/net/ipv4/tcp_syncookies
echo -n 1 > /proc/sys/net/ipv4/conf/all/rp_filter


# Effacement des anciens parametres d Iptable table filter ok!

iptables -t filter -F
iptables -t filter -X

# Interdition totale de l'acces à internet table filter ok!

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# Effacement des anciens parametres d Iptable table nat

iptables -t nat -F
iptables -t nat -X

# Activation de la table nat

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Effacement des anciens parametres d Iptable table mangle

iptables -t mangle -F
iptables -t mangle -X

# Activation de la table mangle

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

# Mise en log des drop de tentative de connection

iptables -N LOG_DROP
iptables -t filter -A INPUT -j LOG --log-prefix "intrusion : "
iptables -A LOG_DROP -j DROP

# Autorisation à l'acces NTP heure

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 123 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 123 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 123 -j ACCEPT


# Autorisation à l'acces DNS ok!

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT

# Autorisation des ports 80 (http) et 443 (https) ok!

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 443 -j ACCEPT

# Autorisation des ports de courrier 25 (smtp) et 110 (pop3) ok!

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 110 -j ACCEPT

iptables -t filter -A INPUT -i ppp0 -p tcp --sport 25 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 25 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 110 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 110 -j ACCEPT

# Autorisation de ne laisser passer les paquets ip qui sont en réponse à ceux de la machine.A CONTROLER PAS SUR QUE CELA MARCHE

iptables -A OUTPUT -o ppp0 -s 127.0.0.1 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -s 0.0.0.0/0 -d 127.0.0.1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorisation d utiliser du ftp ok!

modprobe ip_conntrack_ftp

# Pour que la connexion puisse s'établir

iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

# Pour que serveur puisse établir la connexion pour les données (en mode actif).

iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

# Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi ip_conntrack_ftp est nécessaire. Besoin d'avoir fait en ligne de commande modprobe ip_conntrack_ftp

iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autorisation d utiliser du msn ok!

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 1863 -j ACCEPT

iptables -t filter -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 1863 -j ACCEPT

# Autorisation à l'acces Enemy territory (http://alphacore.net/spip/article.php3?id_article=82) ok!

iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 27660:27999 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 27660:27999 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 27660:27999 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 27660:27999 -j ACCEPT


# On autorise le protocol ICMP vers internet depuis la machine ce qui permet de pinguer l'extérieur sans pouvoir être pinguer

iptables -t filter -A INPUT -i ppp0 -m state --state ESTABLISHED -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p icmp -j ACCEPT


echo_success
echo
touch $SYSCONF_FILE
;;

stop)

gprintf "Disabling numlocks on ttys: "
# ajoute tes commandes ici...

iptables -t filter -F
iptables -t filter -X

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t filter -F
iptables -t filter -X


iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

echo_success
echo
rm -f $SYSCONF_FILE
;;
status)
if [ -f $SYSCONF_FILE ]
then
gprintf "parefeu is enabled\n"
else
gprintf "parefeu is disabled\n"
fi
;;
restart)
$0 stop
$0 start
;;
reload)
gprintf "Reloading parefeu: "
$0 start
echo
;;
*)
gprintf "Usage: %s {start|stop|restart|reload|status}\n" "$0"
exit 1
esac

exit 0

Donc là en console quand je fais : service parefeu start
cela me dit : starting parefeu [OK]

et quand je fais :service parefeu stop

cela me dit : Désactivation du verrouillage numérique sur les consoles ttys: [ OK ]

Maintenant des que le parefu est actif et qu il stop des intrusions que je peux voir dans : cat /var/log/messages, je peux difficilement ouvrir mon arborescence en tant que user . De temps en temps je peux ouvrir les repertoires en mode graphique des fois non. Par contre en mode console ca va.

quelqu un a t il une idee et j espere avoir mieux parler la france.

;-)
@

Poste le Monday 30 May 2005 06:20:08

Salut,

Citation
benoitor
mais le soucis c'est qu'il refuse a 90% de m ouvrir les repertoires de ma machine. Je n'arrive pas a naviguer dans mon dossier personnel. Tres embetant.

Visiblement tu as oublié d'autoriser le réseau virtuel :

#AUTORISER LE RESEAU VIRTUEL LOCALHOST

iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

Poste le Monday 30 May 2005 07:46:49

Merci perramus

Je venais de m'en apercevoir juste avant de lire ton message. Par contre contrairement à toi j'ai mis 127.0.0.0/8 au lieu des 0.0.0.0 que tu mets.

Est ce important?

Et merci d'avoir lu mon script et de m'avoir indiqué mon erreur.


@

Poste le Monday 30 May 2005 08:00:43

De rien,

Pour 0.0.0.0/0 ça veut dire "partout", c'est une variable inutile mais je préfère expliciter mon script au maximum.

Poste le Monday 30 May 2005 10:24:42