Bonjour,

Voila, je débute sur linux (debian/sarge) et donc je parcours le net en testant 2-3 script et mod par ci par la et aujourd´hui j´ai essayé Iptables, comme firewall sur les conseil d´un ami.

A la base je désire que l´on puisse avoir acces au serveur depuis le net ( comme cela marchait sans le firewall) mais de facon plus sécurisé, j´ai donc fait:

un fichier firewall dans /etc/init.d/ avec dedans:

1. !/bin/sh

stop() {
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
}

case $1 in
"start")
/etc/firewall.sh
;;
"stop")
stop
;;
"restart")
stop
/etc/firewall.sh
;;
esac

et un fichier firewall.sh dans /etc/ avec dedans

1. !/bin/sh
2. Règles par défaut

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

1. On accepte les connexions boucle locale (sur lo)

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

1. On accepte les connexions depuis le LAN

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

1. On accepte les connexions HTTP, SSH, FTP et Webmin dans les deux sens

iptables -A INPUT -i eth0 -p tcp --sport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 10000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

1. On autorise le ping

iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT

et je tente de lance le service avec /etcv/init.d/firewall start

malheureusement j´ai une erreur permission non accordée, je ne sais pas vraiment d´ou vient mon erreur et si mes log sont bon dans le sens ou je ne veut accepter que les connexion web port 80, ftp port 21 ssh port 22 et webmin port 10000

voila si vous pouvez m´éclairer un peu plus, je vous en remercie.

Ca me rappelle fortement un script que j´ai vu sur lea-linux

Bon, le script a l´air "correct" à première vue. Peux-tu décrire l´erreur plus en détail ?

1. On accepte les connexions HTTP, SSH, FTP et Webmin

dans les deux sens
iptables -A INPUT -i eth0 -p tcp --sport ftp -m state
--state NEW,ESTABLISHED,RELATED -j ACCEPT

Il ne devrait pas y avoir le même jeu de régles avec --dport ? Sinon, j´ai l´impression que si on fait une requête à ton serveur sur le port 80, elle sera droppée...

tu veux dire

iptables -A INPUT -p tcp -i eth0 --dport ftp --sport ftp: \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

PS: oui c´est bien evidement tiré de lea ^^

pour ce qui est de l´erreur, je palce donc mon fichier firewall dans /etc/init.d/ mon fichier firewall.sh dans /etc/ et je le lance avec la commade /etc/init.d/firewall start et la ssh me repond:

/etc/init.d/firewall: Permission non accordée

Ah... seul root peut lancer des services comme ca, non ?

Sinon, il faut vérifier que tu as bien les droits d´exécuter /etc/firewall.sh

Sinon, moi je mettrai :

1. on veut les paquets envoyés par le port 21
2. (pourquoi on veut ca au fait ?)

iptables -A INPUT -p tcp -i eth0 --sport ftp \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

1. On veut les paquets qui arrivent sur notre port 21

iptables -A INPUT -p tcp -i eth0 --dport ftp \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Dans la ligne que tu proposais, le paquet est accepté seulement si le port de la source et le port de destinations sont tous les deux à 21, ce qui n´est pas le cas en pratique.