Forum

salut tous,

Voila j'ai trouve un script sur un site linux, pourriez-vous me dire si il est bon pour un utilisateur pour moi qui passe par un routeur et fait du p2p.
aussi, dois-je installer iptables par urpmi ou est-il deja installe par defaut.
Je sais que je dois desactiver le firewall de Mandriva.
Serait-il possible de m'indiquer quelles informations dois-je ajouter ou supprimer pour utiliser ce script directement.
[code]
#!/bin/sh
###################################################################################
# Configuration du pare-feu Netfilter pour une machine linux connectée a Internet #
###################################################################################
# 20060411
# Ce script doit être exécuté sous root.
# Pour que les règles de ce script soient automatiquement rechargées au démarrage
# du PC, le service iptables doit être actif.
#
# Cette machine peut être reliée au réseau via un modem ADSL, une Freebox, ...
# Cette machine ne dispose que d'une interface réseau définie par la variable NETIN.
# Dans le cas de la Freebox, l'interface est normalement 'eth0'.
# Pour savoir quelle interface est utilisée, faites un "ifconfig" sous root.
# Vous devriez avoir 2 interfaces de listées. 'lo' pour l'interface locale ou 'loopback'
# et celle qui relie votre PC à internet : eth0 ou eth1 ou ppp0 ou ...
#
NETIN=eth0
if [ "$1" != "" ]
then
NETIN=$1
fi
#
# La stratégie est simple :
# on interdit tout par défaut (cf. la politique par défaut a DROP)
# puis on autorise ce qui nous intéresse :
# - l'interface locale (lo) à dialoguer avec elle-même (c'est la moindre des choses)
# - le trafic du PC vers internet pour les protocoles que nous avons décidé d'utiliser
# - le trafic d'internet vers le PC pour les connexions initiées par le PC
# On interdit explicitement les paquets qui proviennent d'internet contenant une adresse IP source non routable sur internet
# ensuite on ouvre les ports pour les services actifs sur notre PC et qui doivent être visibles de l'exterieur (P2P, serveur Web, ...)
# enfin on reste poli en acceptant le ping et en refusant explicitement les demandes de connexions non souhaitées
# sans oublier de les logguer (cf. /var/log/messages)

#
# NB : Cas du serveur X11
# Par défaut, le serveur X est à l'écoute sur le port TCP/6000.
# On peut désactiver cette écoute en lançant le serveur X11 avec l'option '-nolisten tcp'
# (cf. fichier /etc/X11/xdm/Xservers sous Mandriva Linux)
# Exemple en modifiant le fichier de config de X :
# :0 local /usr/X11R6/bin/X -nolisten tcp -deferglyphs 16
# Dans ce cas, il sera impossible de faire du X à distance.
#
# Attention : en utilisant ce script, le port 6000 est fermé par défaut.
# Si vous voulez utiliser X à distance, # il faudra donc l'ouvrir explicitement
# (cf. plus loin la règle est en commentaire).
#

# Pour pouvoir gérer le protocole FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# Pour que ces 2 modules soient pris en compte au redémarrage du PC,
# il faut ajouter le nom de ces 2 modules dans /etc/modprobe.preload

#########################################################################
# On part sur des bases propres : on supprime toutes règles antérieures #
#########################################################################
# Supprime tous les filtres actifs
iptables -F
# Supprime les chaines définies par l'utilisateur
iptables -X

#########################################################################################################
# Définition de la politique par défaut : on ignore tout (càd absortion des paquets sans y répondre #
# Puisqu'on ne dispose que d'une seule machine, on pourrait ne définir que la règle sur la chaîne INPUT #
#########################################################################################################
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP

# Autorise l'interface locale à dialoguer avec elle-même !
iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

# Autorise le trafic sortant sur des connexions ouvertes
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorise le trafic entrant sur des connexions ouvertes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Ignore les paquets provenant de l'extérieur avec une adresse non routable sur Internet
iptables -A INPUT -i ${NETIN} -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ${NETIN} -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ${NETIN} -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i ${NETIN} -s 127.0.0.0/8 -j DROP

###################################
# Ouverture de ports a la demande #
###################################

# BitTorrent
# Ces règles autorisent les clients BT à se connecter sur notre PC
# (et ainsi profiter de notre bande passante montante ('upload'))
# et inversement autorisent le client local à sortir vers Internet
# pour se connecter à des peers/seeds BT.
# La plage de ports spécifiée ici doit être compatible avec la plage
# utilisée par le client BT.
# Par exemple :
# btdownloadgui.py --minport 7000 --maxport 7099 Mandriva-Linux-PowerPack-2006-DVD.x86_64.torrent
#################################
iptables -A INPUT -m state --state NEW -p tcp --dport 6881:7099 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -p tcp --dport 6881:7099 -j ACCEPT

# Autorise les connexions entrantes sur un serveur local #
# Creer une ligne par protocole en changeant --dport #
# http, https, ftp, ssh, smtp, 53, 8080, ... #
##########################################################
# =============++++>>>> ENTRANTS
iptables -A INPUT -m state --state NEW -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport http -j ACCEPT
#iptables -A INPUT -m state --state NEW -p tcp --dport https -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport ssh -j ACCEPT
#iptables -A INPUT -m state --state NEW -p tcp --dport x11 -j ACCEPT # serveur X

# Autorise les connexions sortantes vers Internet #
# Creer une ligne par protocole en changeant --dport #
# http, https, ftp, ssh, smtp, 53, 8080, ... #
# Les correspondances nom/port sont disponibles dans le fichier /etc/services
# =============++++>>>> SORTANTS TCP
iptables -A OUTPUT -m state --state NEW -p tcp --dport ftp -j ACCEPT # transfert de fichiers
iptables -A OUTPUT -m state --state NEW -p tcp --dport nicname -j ACCEPT # whois
iptables -A OUTPUT -m state --state NEW -p tcp --dport pop3 -j ACCEPT # lecture d'email
iptables -A OUTPUT -m state --state NEW -p tcp --dport imap -j ACCEPT # lecture d'email
iptables -A OUTPUT -m state --state NEW -p tcp --dport http -j ACCEPT # web
iptables -A OUTPUT -m state --state NEW -p tcp --dport webcache -j ACCEPT # web
iptables -A OUTPUT -m state --state NEW -p tcp --dport https -j ACCEPT # web securisé
iptables -A OUTPUT -m state --state NEW -p tcp --dport squid -j ACCEPT # web via proxy
iptables -A OUTPUT -m state --state NEW -p tcp --dport nntp -j ACCEPT # forum usenet
iptables -A OUTPUT -m state --state NEW -p tcp --dport smtp -j ACCEPT # envoi d'email
iptables -A OUTPUT -m state --state NEW -p tcp --dport ssh -j ACCEPT # secure shell
iptables -A OUTPUT -m state --state NEW -p tcp --dport rtsp -j ACCEPT # Real Player
iptables -A OUTPUT -m state --state NEW -p tcp --dport ircd -j ACCEPT # IRC
iptables -A OUTPUT -m state --state NEW -p tcp --dport 5222 -j ACCEPT # Jabber
iptables -A OUTPUT -m state --state NEW -p tcp --dport 8666 -j ACCEPT # mandriva chat applet

# =============++++>>>> SORTANTS UDP
iptables -A OUTPUT -p udp --sport 68 --dport 67 -j ACCEPT # DHCP : attribution automatique d'IP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # DNS : résolution de noms en IP

# =============++++>>>> SORTANTS ICMP
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT # Autorise Ping vers l'exterieur

###############################
# La section politesse et LOG #
###############################

# Pour autoriser le ping, ie. être visible d'internet
#iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Par curiosite, on peut tracer les demandes de connexions en provenance de l'exterieur
# Traces disponibles dans le fichier /var/log/messages
iptables -A INPUT -m state --state NEW -j LOG
# Idem pour les demandes faites localement vers l'extérieur (vers, troyan, ...)
iptables -A OUTPUT -m state --state NEW -j LOG

# Refuse explicitement les demandes de connexions
# en provenance de l'extérieur car la politique par défaut est d'ignorer (DROP)
#iptables -A INPUT -m state --state NEW -j REJECT

# Sauvegarde la config iptables pour qu'elle soit automatiquement rechargée au démarrage.
# Pour cela, il faut que le service iptables soit actif.
service iptables save


# Ajoute le chargement automatique des modules FTP dans /etc/modprobe.preload
# Compatible Mandriva Linux 2006
a=`grep ip_conntrack_ftp /etc/modprobe.preload`
if [ "$a" != ip_conntrack_ftp ]
then
echo "Ajoute ip_conntrack_ftp au fichier /etc/modprobe.preload"
echo ip_conntrack_ftp >> /etc/modprobe.preload
fi
a=`grep ip_nat_ftp /etc/modprobe.preload`
if [ "$a" != ip_nat_ftp ]
then
echo "Ajoute ip_nat_ftp au fichier /etc/modprobe.preload"
echo ip_nat_ftp >> /etc/modprobe.preload
fi

# fin du script[/code]


Au fait je passe par routeur ou dois-je mettre mon ip, et est-ce bien 192.168.0.1
Merci

Édité par artex Le 13/05/2008 à 10h31

salut
As tu vu ce lien:
http://club.mandriva.com/xwiki/bin/KB/AcceIndex

bonjour et bienvenue ici.

Alors pourquoi un script alors que tu peux configurer toi même et au petit oignons ton parefeu. En ouvrant les port que tu souhaites. pour le peer tot peer il faut aussi ouvrir certain port sur le routeur.



leonidas

merci de votre rapidité e votre accueil...
Je suis un peu perdu la, iptable, le fire inclus dans mandriva etc....
quel est le plus sur et surtout je préférais utiliser iptable qui apparemment est le top en fire.
sinon est ce que le script est bon
merci

le script, me parait correct, mais attend une autre confirmation au cas ou

leonidas

Salut!

Alors je n'ai pas regardé ton script, mais par contre ce que je peux t'affirmer c'est que le parefeu de Mandriva utilise uniquement iptables pour fonctionner. Donc là tu te fatigue pour rien...

donc si je comprends bien il suffit de laisser le firewall par defaut et c est bon..... ca me parait bizarre.

http://forum.mandriva.com/viewtopic.php ... highlight=

Ne vaudrait il mieux pas que tu attendes d'abord que ton sujet soit commencé sur le forum officiel ?

l'oeil de lynx

le probleme est que personne n'a repondu depuis qq jours donc je m'adresse sur un autre forum............

Le but de ton script est de juste fermer les ports dont tu n'as pas besoin?
Si c'est son unique but le firewall de Mandriva suffit amplement.

D'ailleurs si tu es derrière une box un parefeu système ne sert à rien étant donné que ta Box en intègre un d'office.

merci janot pour ta reponse en etant efficace.....
donc mon routeur d-link suffit-il ou dois-je desactiver le fire de mandriva
merci

De rien!
Pour le désactiver tu vas dans ton CCM (Centre de Configuration de Mandriva) et sur l'onglet Sécurité.
Puis tu coche "Pas de firewall" et ça sera bon!

Une fois que tu auras fait la manip de Janot si tu souhaites tester ta sécurité (surtout pour les ports) voici deux petits liens bien pratique.

https://www.grc.com/x/ne.dll?bh0bkyd2
Cliquer sur proceed puis All service ports

http://www.pcflank.com/test.htm
Celui ci tu as différents tests sur le menu de gauche

merci les gars pour votre efficacite....
juste pour savoir, donc mon routeur fait fire a lui tout seul pas besoin d'utiliser celui de Mandriva, est-ce correcte
a+