Demande avis sur ma config iptables.

[Choukette]

Bonjour à tous.

J'aurais voulu avoir l'avis de certains sur ma config iptable au niveau sécurité. Comme iptables n'est pas super simple et que je ne suis pas professionnel des pare-feux, j'ai des doutes sur mon filtrage.
Je suis sous Ubuntu 6.06 server avec fluxbox en window manager (c'est lent gnome )

Autres précisions, c'est un ordinateur personnel (portable), pas le serveur de la DGSE contenant les nom des agents secrets. (Nan mais je préfère préciser )
Par contre, ça doit être assez costaud pour tenir quand je me connecte dans des endroits pas trés sûrs (LAN's ?). Le SSH à un password solide (8 chiffes lettres majuscules/minuscules) et pas le login en root. Je suis le seul utilisateur.
J'espère avoir assez détaillé.
Merci d'avance.

Cordialement. Choukette


# Generated by iptables-save v1.3.3 on Tue Feb 13 14:06:47 2007
*nat
REROUTING ACCEPT [12:2602]
OSTROUTING ACCEPT [5:326]
:OUTPUT ACCEPT [5:326]
COMMIT
# Completed on Tue Feb 13 14:06:47 2007
# Generated by iptables-save v1.3.3 on Tue Feb 13 14:06:47 2007
*mangle
REROUTING ACCEPT [169:31249]
:INPUT ACCEPT [169:31249]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [176:54645]
OSTROUTING ACCEPT [176:54645]
COMMIT
# Completed on Tue Feb 13 14:06:47 2007
# Generated by iptables-save v1.3.3 on Tue Feb 13 14:06:47 2007
*filter
:INPUT DROP [11:2554] //Par défaut : Rejeter tout le trafic entrant destiné à ma machine
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [176:54645] //Par défaut : Autoriser tout le trafic sortant de ma machine et venant d'elle
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT // Serveur SSH
-A INPUT -p udp -m udp --sport 53 -j ACCEPT // DNS
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT // DNS
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 110 -j ACCEPT // POP limité à mon fai
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 587 -j ACCEPT // SMTP (port 587 chez tele2) limité au fai
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT // Navigation web
-A INPUT -i lo -j ACCEPT // Connexions locales
-A INPUT -p tcp -m tcp --sport 4000 -j ACCEPT // Jeu (Diablo II sur wine)
-A INPUT -p tcp -m tcp --sport 6112 -j ACCEPT // Jeu (Diablo II sur wine)
-A INPUT -p tcp -m tcp --sport 1863 -j ACCEPT // Jeu (Diablo II sur wine)
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT // HTTPS
-A INPUT -p tcp -m tcp --sport 6667 -j ACCEPT // IRC
COMMIT
# Completed on Tue Feb 13 14:06:47 2007

[10ip]

//Par défaut : Autoriser tout le trafic sortant de ma machine et venant d'elle

Même s'il s'agit de connexions sortantes, c'est justement celles-ci qui risquent d'être exploitées par un eventuel trojan.
Je n'y connais fichtre rien à iptable, mais n'est il pas préférable d'interdire par défaut et de débloquer le nécessaire ?

[Choukette]

J'ai fait la modification. Un simple miroir de INPUT en inversant --dport et --sport.

Par contre, je suis ennuyé parce pour utiliser nmap, maintenant je peut me brosser... il envoie vers tous les ports...

J'avais pensé à

Code: Tout sélectionner

iptables -A OUTPUT -o eth0 -p tcp -m owner --cmd-owner nmap -J ACCEPT


Mais je doit pas avoir un version du noyau assez récente ou pas compilée avec ce module.


# Generated by iptables-save v1.3.3 on Fri Feb 16 03:29:03 2007
*filter
:INPUT DROP [3456:161237] // Défaut : DROP
:FORWARD DROP [0:0] // Défaut : DROP
:OUTPUT DROP [3814:176120] // Défaut : DROP
########INPUT#########

-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 4000 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 6112 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1863 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 6667 -j ACCEPT
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 110 -j ACCEPT
-A INPUT -s 212.247.156.12 -p tcp -m tcp --sport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
########OUTPUT#########

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 4000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6112 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1863 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6667 -j ACCEPT
-A OUTPUT -d 212.247.156.12 -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -d 212.247.156.12 -p tcp -m tcp --dport 587 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

COMMIT
# Completed on Fri Feb 16 03:29:03 2007
# Generated by iptables-save v1.3.3 on Fri Feb 16 03:29:03 2007
*mangle
REROUTING ACCEPT [25549:2903202]
:INPUT ACCEPT [25549:2903202]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [27281:1552008]
OSTROUTING ACCEPT [23467:1375888]
COMMIT
# Completed on Fri Feb 16 03:29:03 2007
# Generated by iptables-save v1.3.3 on Fri Feb 16 03:29:03 2007
*nat
REROUTING ACCEPT [3466:161617]
OSTROUTING ACCEPT [1749:78229]
:OUTPUT ACCEPT [5489:242789]
COMMIT
# Completed on Fri Feb 16 03:29:03 2007

[dj_mecra]

//Par défaut : Autoriser tout le trafic sortant de ma machine et venant d'elle

Même s'il s'agit de connexions sortantes, c'est justement celles-ci qui risquent d'être exploitées par un eventuel trojan.
Je n'y connais fichtre rien à iptable, mais n'est il pas préférable d'interdire par défaut et de débloquer le nécessaire ?

Si tu n'es que sous linux tu ne crain pas trop les trojan les refuser te fait gagner un peu en paranoia mais surtout predre de la souplesse d'utlisation, genre si tu veux jouer a un jeux ou te connecter a jabber msn ....

[Choukette]

Donc c'est pas forcément utile pour les connexions sortantes ?