Iptables reminder
Je suis toujours à la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :
Lister les règles :
# iptables -nvL –line-numbers
Sauvegarder votre config :
# service iptables save
Sortir votre conf en fichier texte :
# iptables save
Insérer une règle à la position 12 par exemple:
# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT
Restaurer une conf :
# iptables-restore your_config_file
Limiter le temps entre deux connections de la même adresse IP :
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT
Olivier
Et bien moi, pour pas me casser la tête, j’utilise fwbuilder
Oui je sais c’est pour les feignants, mais j’ai pas dit que j’en étais pas un 🙂
Franck
ouais en effet plus rapide, mais quand tu as pas de serveur X, ben tu as pas de chocolat …
putzman
Il existe un build win32 de fwbuilder 😉
Thomas
Hey Franck!
Intéressant ce petit mémento !
J’utilise souvent iptables en GUI sur mes dédiés et j’avoue que c’est vachement utile!
Y’a pas longtemps j’ai découvert l’option -m qui permet de faire une recherche directement dans les packets qui transitent!
C’est vachement utile, je l’utilise pour empêcher les attaques de type “w00tw00t” sur mon apache (d’ailleurs j’ai connu cette attaque à cette occasion :/)
Pour info voici ma ligne de commande :
————————————————
iptables -I INPUT -p tcp –dport 80 -m string –to 70 \
–algo bm –string ‘GET /w00tw00t.at.ISC.SANS.’ -j DROP
————————————————
Ca drop les packets tcp à destination de mon apache (port 80) contenant une chaine de caractère (ici : GET /w00tw00t.at.ISC.SANS. qui est la signature des attaques w00tw00t)
C’est vachement sympa comme règle ^^
Au passage : excellent site 😉
A la prochaine !
Franck
Oui en effet la commande -m est très pratique, mais partir sur une “black list” n’est pas la meilleure méthode …
Après un bon reverse proxy, rien de tel pour protéger son infra … Bon c’est sur c’est pas à la porter de toutes les bourses … bien que je suis sur qu’en faisant une petite recherche sur sourceforge on doit trouver des projets open source dans le domaine …
Merci pour le site … 😉
Sid
~$ iptables –version
iptables v1.4.2
Truc #2: c’est pas dépendant de la distribution ça ?
Truc #3: il manque tu “-” entre iptables et save
~# iptables-save
Si on veut le mettre dans un fichier pour le restaurer plus tard:
~# iptables-save > your_config_file
Truc #5: iptables-restore prend ses entrée sur STDIN
~# iptables-restore < your_config_file
My 0.02EUR…
Franck
Les lignes de commandes sont valables sur RedHat 5.0.
Maintenant entre distrib, il peut y avoir des variantes.