Pages : 1
#1 Le 28/07/2016, à 13:50
- rom1725
[CONTOURNÉ] Debian : les règles iptables disparaissent
Bonjour,
Avec des amis nous avons pris un vps OVH pour héberger divers projets personnels. Mais lorsque nous configurons iptables, les règles disparaissent systématiquement au bout de très peu de temps... (un iptables -L renvoie une config vierge, sans redémarrage entre temps).
Plusieurs tentatives avec des scripts différents ont été tentées, la dernière en date se basant sur http://www.alsacreations.com/tuto/li...-iptables.html.
Voici le script :
#!/bin/sh
# Vider les tables actuelles
iptables -t filter -F
# Vider les règles personnelles
iptables -t filter -X
#regle specifique a OVH
iptables -A OUTPUT -p tcp --dport **** -m state --state NEW,ESTABLISHED -j ACCEPT
# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# ---
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# ---
# SSH In out
iptables -t filter -A INPUT -p tcp --dport ****j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport ****j ACCEPT
# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p udp --dport **** -j ACCEPT
# NTP Out
iptables -t filter -A OUTPUT -p udp --dport **** -j ACCEPT
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
# Mail SMTP:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
# Mail POP3:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
# Mail IMAP:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPT
# Mail POP3S:****
iptables -t filter -A INPUT -p tcp --dport **** -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport **** -j ACCEPTDernière modification par rom1725 (Le 03/08/2016, à 14:17)
Hors ligne
#2 Le 28/07/2016, à 15:00
- jlmas
Re : [CONTOURNÉ] Debian : les règles iptables disparaissent
On ne fait plus de scripts iptables depuis pfou... longtemps 
Si on reste dans le classique, sans firewalld, sans surcouche ufw que je ne connais pas du tout
sudo aptitude install iptables-persistentIl faut mettre les règles iptables dans /etc/iptables/rules.v4 pour les règles IPv4 et /etc/iptables/rules.v6 pour les règles IPv6
Par exemple /etc/iptables/rules.v4
# Generated by iptables-save v1.4.21 on Fri Jul 22 14:14:22 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:835]
-A INPUT -p icmp -m comment --comment "000 accept all icmp" -j ACCEPT
-A INPUT -i lo -m comment --comment "005 accept all to lo interface" -j ACCEPT
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -m comment --comment "100 allow ssh" -m state --state NEW -j ACCEPT
-A INPUT -m comment --comment "998 drop all" -j DROP
-A OUTPUT -o lo -m comment --comment "020 accept all to lo interface" -j ACCEPT
COMMITpuis
sudo service iptables-persistent restartHors ligne
#3 Le 28/07/2016, à 15:08
- donut
Re : [CONTOURNÉ] Debian : les règles iptables disparaissent
A mon avis votre serveur reboote tout seul, ce qui explique le flush des règles iptables 
J'aime bien ufw que je trouve assez simple pour une configuration de base (filtrage de l'entrant uniquement), ça donnerait ça :
ufw allow ssh
ufw allow dns
ufw allow http
ufw allow https
ufw allow smtp
ufw allow pop3
ufw allow pop3s
ufw allow imap
ufw enable
ufw statusEt bien sûr elles sont persistantes au reboot
Dernière modification par donut (Le 28/07/2016, à 15:09)
https://utux.fr (blog perso)
Hors ligne
#4 Le 28/07/2016, à 15:37
- grandtoubab
Re : [CONTOURNÉ] Debian : les règles iptables disparaissent
A mon avis votre serveur reboote tout seul, ce qui explique le flush des règles iptables
J'aime bien ufw que je trouve assez simple pour une configuration de base (filtrage de l'entrant uniquement), ça donnerait ça :
ufw allow ssh ufw allow dns ufw allow http ufw allow https ufw allow smtp ufw allow pop3 ufw allow pop3s ufw allow imap ufw enable ufw statusEt bien sûr elles sont persistantes au reboot
je dirai même plus, j'aime encore mieux son interface graphique gufw 
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#5 Le 31/07/2016, à 09:09
- rom1725
Re : [CONTOURNÉ] Debian : les règles iptables disparaissent
Bonjour à tous, et merci pour vos réponses.
Comme nous n'avions pas fait grand chose dessus nous avons carrément décidé de le remettre à zéro, de faire table rase.
À partir de là nous avons commencé par mettre en place les règles iptables, avant de faire quoi que ce soit d'autre, et maintenant elles tiennent, même en cas de connexion d'un autre utilisateur que celui qui les a mises en place.
La seule explication logique qui nous vient est qu'on aurait été piratés...
Hors ligne