[résolu] Fermer des ports

renaud07 · Le 01/08/2012, à 18:51

Bonsoir,

Je viens de faire un scan nmap et j'ai des ports ouvert résultant d’installation diverses supprimées depuis, voici la liste :

Starting Nmap 5.00 ( http://nmap.org ) at 2012-08-01 19:34 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 990 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
143/tcp   open  imap
445/tcp   open  microsoft-ds
465/tcp   open  smtps
993/tcp   open  imaps
3128/tcp  open  squid-http
3306/tcp  open  mysql
10000/tcp open  snet-sensor-mgmt

Je voudrais donc fermer les ports : 143, 465, 993, 111 ?

J'ai essayé cette commande mais ça a l'air sans effet :

iptables -A INPUT -p tcp -i eth0 --dport 993 -j DROP

Merci d'avance

Dernière modification par renaud07 (Le 02/08/2012, à 21:10)

xavier4811 · Le 01/08/2012, à 19:44

Bonsoir,

tu a déjà des règles de parefeu autre que celle là ?
Si oui -A INPUT place cette règle en dernier, alors que les règles iptables sont exécutées de la première a la dernière. Donc si il y a avant un règle qui autorise, celle ci ne sera jamais appliquée.

Généralement on prend le problème dans l'autre sens, on commence par tout vérrouiller et ensuite on ouvre au compte goutte pour ce dont on a besoin.
C'est généralement beaucoup plus efficace et simple a mettre en place.

Dernier point, les règles iptables sont volatiles, si tu ne les enregistre pas dans un script lancé au démarrage (ou avec iptables-save/restore), au prochain reboot tout est ouvert.

renaud07 · Le 02/08/2012, à 02:35

Dernier point, les règles iptables sont volatiles, si tu ne les enregistre pas dans un script lancé au démarrage (ou avec iptables-save/restore), au prochain reboot tout est ouvert.

Ah tiens tu m'apprends un truc là, je savais pas, merci de l'avoir précisé

renaud07 · Le 02/08/2012, à 02:40

Voilà un iptables -L :

root@serveur:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-apache  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh,sftp 
fail2ban-apache-overflows  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-apache-multiport  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh 
fail2ban-apache-noscript  tcp  --  anywhere             anywhere            multiport dports www,https 
DROP       tcp  --  anywhere             anywhere            tcp dpt:imap2 
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssmtp 
DROP       tcp  --  anywhere             anywhere            tcp dpt:imaps 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-apache (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-multiport (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-noscript (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-overflows (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Petite précision, c'est sur un serveur debian squeeze.

xavier4811 · Le 02/08/2012, à 06:58

renaud07 a écrit :

root@serveur:~# iptables -L
Chain INPUT (policy ACCEPT)

Tout paquet qui ne matche pas exactement une règle est accepté par défaut

renaud07 · Le 02/08/2012, à 16:17

J'ai bien peur de na pas avoir compris la phrase, enfin si tu pouvais me dire comment on fait, car même en suivant la doc je m'embrouille, c'est sûr que que c'est plus compliqué que windows là ou on a juste a cocher/décocher les cases pour ouvrir/fermer un port

renaud07 · Le 02/08/2012, à 16:29

Alors en relisant attentivement la doc si j'ai bien compris il faut que je fasse un :

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

ensuite un

iptables -A INPUT -p tcp -i eth0 --dport n°_port -j ACCEPT

pour tous les ports que je veux autoriser puis un :

iptables -A INPUT -i lo -j ACCEPT

pour autoriser le trafic loopback puis

iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

et

iptables -A INPUT -p icmp -j ACCEPT

pour accepter le ping puis un :

iptables -P INPUT DROP

pour bloquer le reste.

et enfin créer le ficher /etc/init.d/monIptables :

#!/bin/bash

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3306 -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -P INPUT DROP

exit 0

C'est bien ça ?

Par contre ça marche comment vu que j'ai mis fail2ban ?

Jusqu’à maintenant je ne m'en occupais pas trop car je pensais que du moment qu'une appli était désinstallé (comme courier-imap par ex) ça fermait le port correspondant sur iptables mais apparemment c'est pas le cas, d'ailleurs on peux pas mettre en place un truc automatique ?

Dernière modification par renaud07 (Le 02/08/2012, à 16:45)

xavier4811 · Le 02/08/2012, à 17:19

Presque
Fail2ban crée ses propres règles et les insère, pas d'inquiétude pour ça
par contre

/sbin/iptables -P INPUT DROP

c'est la règle par défaut (-p=policy) donc habituellement c'est une des premières a déclarer après une purge

#!/bin/bash
## Flush puis purge des anciennes règles
/sbin/iptables -F
/sbin/iptables -X
## Défault policy
/sbin/iptables -P INPUT DROP
## tes règles viennent ensuite
...

renaud07 · Le 02/08/2012, à 17:35

ok merci je vais voir si ça marche et te tiens au jus

renaud07 · Le 02/08/2012, à 17:52

Bon ça a l'air de marcher mais j'ai toujours autant de ports ouverts que tout à l'heure C'est normal docteur ?

renaud07 · Le 02/08/2012, à 17:57

le /etc/init.d/monIptables :

#!/bin/bash
## Flush puis purge des anciennes règles
/sbin/iptables -F
/sbin/iptables -X
## Défault policy
/sbin/iptables -P INPUT DROP
# Règles
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 3306 -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j AC$
/sbin/iptables -A INPUT -p icmp -j ACCEPT

et le iptables -L

root@serveur:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-apache  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh,sftp 
fail2ban-apache-overflows  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-apache-multiport  tcp  --  anywhere             anywhere            multiport dports www,https 
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh 
fail2ban-apache-noscript  tcp  --  anywhere             anywhere            multiport dports www,https 
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:mysql 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 

Chain fail2ban-apache (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-multiport (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-noscript (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache-overflows (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Ça a l'air de l'avoir pris en compte mais pourquoi donc ça fonctionne pas ?

nmap :

root@serveur:~# nmap 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at 2012-08-02 18:53 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 988 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  microsoft-ds
465/tcp   open  smtps
993/tcp   open  imaps
3128/tcp  open  squid-http
3306/tcp  open  mysql
10000/tcp open  snet-sensor-mgmt

renaud07 · Le 02/08/2012, à 18:02

Ah serait-ce parce que je fais un scan en local ? Je viens de le refaire à partir de mon PC et je n'ai plus les ports que j'ai pas mis dans la règle :

renaud@dell-desktop:~$ nmap 192.168.1.2

Starting Nmap 5.21 ( http://nmap.org ) at 2012-08-02 18:58 CEST
Nmap scan report for serveur (192.168.1.2)
Host is up (0.00032s latency).
Not shown: 993 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
139/tcp  open   netbios-ssn
443/tcp  open   https
445/tcp  open   microsoft-ds
3128/tcp open   squid-http
3306/tcp closed mysql

Ça a l'air bon cette fois mais ça m'explique pas pourquoi lorsque je fait un scan local ça m'affiche toujours les ports 111, 143, 465 et 993 alors qu'il s ne son pas dans la règle ?

xavier4811 · Le 02/08/2012, à 19:17

Parce qu'en local tu passe par la boucle locale (à ne pas bloquer surtout)

/sbin/iptables -A INPUT -i lo -j ACCEPT

renaud07 · Le 02/08/2012, à 19:30

Ah ok je me disais qu'il y avait bien un histoire avec ça. Mais alors comment ce fait-il que les ports soient encore ouvert alors que l'application est désinstallée ? Comment les fermer ? Même si apparemment il ne sont pas accessibles de l’extérieur mais bon j'aime bien que tout soit propre

Dernière modification par renaud07 (Le 02/08/2012, à 19:31)

xavier4811 · Le 02/08/2012, à 20:04

sudo lsof -i

ça devrait t'apprendre beaucoup de choses sur ce qui tourne sur ta machine

renaud07 · Le 02/08/2012, à 21:10

Ah merci, ta commande m'a permis de voir que dovecot n'était pas désinstallé ! Pourtant j'étais sûr de l'avoir fait, comme quoi des fois. Donc maintenant c'est bon quand je fais un scan des ports, ils n'apparaissent plus

Sujet résolu.

Merci pour ton aide précieuse

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/08/2012, à 18:51

[résolu] Fermer des ports

#2 Le 01/08/2012, à 19:44

Re : [résolu] Fermer des ports

#3 Le 02/08/2012, à 02:35

Re : [résolu] Fermer des ports

#4 Le 02/08/2012, à 02:40

Re : [résolu] Fermer des ports

#5 Le 02/08/2012, à 06:58

Re : [résolu] Fermer des ports

#6 Le 02/08/2012, à 16:17

Re : [résolu] Fermer des ports

#7 Le 02/08/2012, à 16:29

Re : [résolu] Fermer des ports

#8 Le 02/08/2012, à 17:19

Re : [résolu] Fermer des ports

#9 Le 02/08/2012, à 17:35

Re : [résolu] Fermer des ports

#10 Le 02/08/2012, à 17:52

Re : [résolu] Fermer des ports

#11 Le 02/08/2012, à 17:57

Re : [résolu] Fermer des ports

#12 Le 02/08/2012, à 18:02

Re : [résolu] Fermer des ports

#13 Le 02/08/2012, à 19:17

Re : [résolu] Fermer des ports

#14 Le 02/08/2012, à 19:30

Re : [résolu] Fermer des ports

#15 Le 02/08/2012, à 20:04

Re : [résolu] Fermer des ports

#16 Le 02/08/2012, à 21:10

Re : [résolu] Fermer des ports

Pied de page des forums