web-dev-qa-db-fra.com

Configuration de iptables (vérification, services actifs, autoriser FTP)

J'expérimente avec les IPT (iptables) dans Xubuntu.

Première expérimentation avant d'autoriser tout le trafic OUTPUT et de bloquer toutes les entrées sauf les connexions TCP déjà existantes que quelqu'un peut vérifier si elles sont correctes

enter image description here

Pour aller un peu plus avancé, j'essaie d'autoriser al TCP connexions à des services actifs sur mon poste de travail. Mon idée est de faire un scan nmap et de grep les ports d’écoute/ouverts, mais j’ai probablement trop réfléchi.

Enfin, j'essaie d'autoriser FTP.
J'ai utilisé cette règle supplémentaire pour autoriser FTP, mais il semble que je suis toujours bloqué.

Sudo iptables -A INPUT -p tcp --port 21 -m state --stATE NEW, ESTABLISHED -j ACCEPT
configurationftpiptables
1
user1082381

FTP est un peu étrange en ce sens qu'il permet le trafic entrant sur le port 21 et le trafic sortant sur le port 20:

Sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
Sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

De plus, ftp utilisera un port aléatoire supérieur. Pour permettre cela, vous devez charger le module ip_conntrack_ftp au démarrage. Décommentez et modifiez la ligne IPTABLES_MODULES dans le fichier/etc/sysconfig/iptables-config à lire

IPTABLES_MODULES="ip_conntrack_ftp"

Vous aurez toujours besoin d'un moyen de sauvegarder votre configuration iptables et de la restaurer au démarrage. Ubuntu n’a pas un moyen simple de le faire. Fondamentalement, vous pouvez utiliser /etc/rc.local ou désactiver NetworkManager et utiliser des scripts de réseau.

Commencez par sauvegarder vos règles:

Sudo iptables-save /etc/iptables.save

Méthode 1: Éditez /etc/rc.local et ajoutez la ligne

iptables-restore /etc/iptables.save

Méthode 2: Éditez /etc/network/interfaces et utilisez "post-up" pour afficher nos règles iptables.

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp
post-up /sbin/iptables-restore /etc/iptables.save

Puis redémarrez.

La méthode préférée consiste probablement à utiliser UFW

Sudo ufw allow ftp

UFW est l'outil fedault pour Ubuntu. Il utilise une syntaxe très similaire à celle d'iptables. Il est activé et restauré au redémarrage.

Voir:

https://serverfault.com/questions/38398/allowing-ftp-with-iptables

http://slacksite.com/other/ftp.html

http://bodhizazen.com/Tutorials/iptables

https://help.ubuntu.com/community/UFW

4
Panther

Si vous êtes nouveau sur iptables, vous pouvez utiliser soit gufw ou fw pour configurer les règles initialement. Vous pouvez utiliser des règles aussi simples que "autoriser le FTP entrant" au lieu de devoir comprendre tous les indicateurs spéciaux pour le faire fonctionner. Ils vous permettront également de définir des règles avancées si vous en avez besoin.

Ufw et gufw créent tous deux des règles iptables dans les coulisses.

1
ImaginaryRobots