Iptables reminder

Je suis toujours à la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :

Lister les règles :

# iptables -nvL –line-numbers

Sauvegarder votre config :

# service iptables save

Sortir votre conf en fichier texte :

# iptables save

Insérer une règle à la position 12 par exemple:

# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT

Restaurer une conf :

# iptables-restore your_config_file

Limiter le temps entre deux connections de la même adresse IP :

# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT

Tags: Firewall, iptable, Linux

Trackback from your site.

Commentaires (7)

  • Avatar

    Olivier

    |

    Et bien moi, pour pas me casser la tête, j’utilise fwbuilder
    Oui je sais c’est pour les feignants, mais j’ai pas dit que j’en étais pas un 🙂

  • Avatar

    Franck

    |

    ouais en effet plus rapide, mais quand tu as pas de serveur X, ben tu as pas de chocolat …

  • Avatar

    putzman

    |

    Il existe un build win32 de fwbuilder 😉

  • Avatar

    Thomas

    |

    Hey Franck!

    Intéressant ce petit mémento !
    J’utilise souvent iptables en GUI sur mes dédiés et j’avoue que c’est vachement utile!

    Y’a pas longtemps j’ai découvert l’option -m qui permet de faire une recherche directement dans les packets qui transitent!

    C’est vachement utile, je l’utilise pour empêcher les attaques de type “w00tw00t” sur mon apache (d’ailleurs j’ai connu cette attaque à cette occasion :/)

    Pour info voici ma ligne de commande :

    ————————————————
    iptables -I INPUT -p tcp –dport 80 -m string –to 70 \
    –algo bm –string ‘GET /w00tw00t.at.ISC.SANS.’ -j DROP
    ————————————————

    Ca drop les packets tcp à destination de mon apache (port 80) contenant une chaine de caractère (ici : GET /w00tw00t.at.ISC.SANS. qui est la signature des attaques w00tw00t)

    C’est vachement sympa comme règle ^^

    Au passage : excellent site 😉

    A la prochaine !

  • Avatar

    Franck

    |

    Oui en effet la commande -m est très pratique, mais partir sur une “black list” n’est pas la meilleure méthode …

    Après un bon reverse proxy, rien de tel pour protéger son infra … Bon c’est sur c’est pas à la porter de toutes les bourses … bien que je suis sur qu’en faisant une petite recherche sur sourceforge on doit trouver des projets open source dans le domaine …

    Merci pour le site … 😉

  • Avatar

    Sid

    |

    ~$ iptables –version
    iptables v1.4.2

    Truc #2: c’est pas dépendant de la distribution ça ?

    Truc #3: il manque tu “-” entre iptables et save
    ~# iptables-save
    Si on veut le mettre dans un fichier pour le restaurer plus tard:
    ~# iptables-save > your_config_file

    Truc #5: iptables-restore prend ses entrée sur STDIN
    ~# iptables-restore < your_config_file

    My 0.02EUR…

  • Avatar

    Franck

    |

    Les lignes de commandes sont valables sur RedHat 5.0.

    Maintenant entre distrib, il peut y avoir des variantes.

Laisser un commentaire