#1 Le 15/11/2016, à 18:53
- amanda
Besoin d'un peu d'aide pour le script iptables
Bonsoir,
Comme script iptables, j'utilise tout simplement celui disponible sur le site https://doc.ubuntu-fr.org/iptables (voir plus bas). Ayant voulu le tester, comme le préconise ce même site, sur la page du site http://www.zebulon.fr/outils/scanports/ … curite.php, je me suis aperçue que plusieurs ports étaient ouverts (http, https et ssh) et que d'autres étaient fermés mais pas invisibles (stealth). Je n'utilise ni de serveur, ni de ssh donc si je ne me trompe pas, je peux le fermer. Voici les commandes que j'aimerais rajouter dans le script:
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables -A INPUT -p udp --destination-port 22 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -j DROP
iptables -A OUTPUT -p udp --dport 22 -j DROPMais qu'en est-il des ports fermés mais visibles? Comment faire pour les mettre en stealth?
De plus, j'ai refait plusieurs fois le test sur zebulon et les résultats du scan sont souvent différents. Une fois, j'ai 3 ports ouverts, une autre, j'en ai 2. Une autre fois, j'ai pratiquement tous les ports en stealth et l'autre fois, c'est tout le contraire, pratiquement tout est fermé mais pas en stealth.
Merci de m'éclairer.
Ps: voici le script:
#!/bin/bash
## Script iptables by BeAvEr.
## Règles iptables.
## On flush iptables.
iptables -F
## On supprime toutes les chaînes utilisateurs.
iptables -X
## On drop tout le trafic entrant.
iptables -P INPUT DROP
## On drop tout le trafic sortant.
iptables -P OUTPUT DROP
## On drop le forward.
iptables -P FORWARD DROP
## On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
## Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
## Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
## Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
## On accepte la boucle locale en entrée.
iptables -I INPUT -i lo -j ACCEPT
## On log les paquets en entrée.
iptables -A INPUT -j LOG
## On log les paquets forward.
iptables -A FORWARD -j LOG
exit 0Dernière modification par amanda (Le 15/11/2016, à 18:53)
Hors ligne
#2 Le 18/11/2016, à 02:33
- chris512
Re : Besoin d'un peu d'aide pour le script iptables
Bonsoir,
C'est pas la peine de rajouter les 4 lignes qui DROP sur le port 22, avec la commande:
iptables -P INPUT DROP tout les ports sont fermés par défaut ( -P = default policy ), pour ouvrir un port faut le faire explicitement.
Je comprend pas trop le résultat du test, tu serais pas dernière un routeur ou une box?
Essai de faire un scan avec nmap d'un autre poste pour voir : http://packages.ubuntu.com/search?keywords=nmap
Hors ligne
#3 Le 19/11/2016, à 17:40
- amanda
Re : Besoin d'un peu d'aide pour le script iptables
@chris512
Bonsoir,
Merci pour ta réponse.
Je comprend pas trop le résultat du test, tu serais pas dernière un routeur ou une box?
Oui je suis derrière un routeur.
Essai de faire un scan avec nmap d'un autre poste pour voir
J'ai testé avec zenmap et le logiciel m'avertit que j'ai deux ports ouverts:
80/tcp
52869/tcp
J'ai aussi testé nmap sur un autre pc ayant Debian et le résultat est identique.
Dernière modification par amanda (Le 20/11/2016, à 18:03)
Hors ligne