Restreindre accès serveur

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Restreindre accès serveur

Dwarf

Hey,
Je me demandais si c'était possible de restreindre l'accès à certains services du serveur ( SSH par exemple ) à certaines adresses MAC et pas à certaines adresses IP.

Aerya

Ouaip, même principe qu'avec les IP. Exemple de limitation d'accès SSH, port 22

iptables -I INPUT -p tcp --dport 22 -m mac --mac-source A1:B2:C3:D4:E5:F6 -j ACCEPT

Dwarf

Super merci ! Je vais me pencher sur iptables alors pour l'installer

Aerya

C'est déjà installé, si tu veux une "introduction" à IPtables y'a un lien dans ma signature.

Dwarf

J'ai bien mis la commande avec mon adresse mac, la règle est affichée avec iptables -L mais ça fonctionne toujours sur d'autres adresses mac. T'aurais pas une idée ?

Aerya

Pour autoriser des règles sur tel port (entrant) ça implique que tu ais bloqué TOUt le trafic entrant en amont. L'as-tu bien mis en place ?

Dwarf

Avec cette commande du coup ?

iptables -I INPUT -p tcp --dport 22 -j DROP

Aerya

Voici un exemple de script à adapter selon tes besoins en INPUT (donc en trafic entrant).

# SSH / autorisation adresse MAC1
-I INPUT -p tcp  -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 22 -j ACCEPT

=> autorise le SSH sur port 22 pour MAC1

# Interface ruTorrent / autorisation MAC1
-I INPUT -p tcp  -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 443 -j ACCEPT

=> autorise la connexion à ruTorrent, en HTTPS, pour MAC1

# ruTorrent / port.s de com avec peers
-I INPUT -p tcp --dport 57380 -j ACCEPT

=> autorise les échanges avec les peers sur le port 57380

Tout le reste est bloqué en entrée. Libre à toi d'ajouter des règles selon ce que tu as/veux faire.

Tu c/c ce script (une fois modifié) dans /etc/iptables.firewall.rules

*filter

# Purge des regles IPtables
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P FORWARD ACCEPT
-F
-X

# Regles de base
# Autorisation de tout trafic sortant
-P OUTPUT ACCEPT
# Rejeter tout le trafic entrant sauf règles qui suivent
-P INPUT DROP
# Autorisation des connexions entrantes deja etablies
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Autorisation des connexions internes (loopback)
-A INPUT -i lo -j ACCEPT

# Autorisations entrantes
# SSH / autorisation adresse MAC1
-I INPUT -p tcp  -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 22 -j ACCEPT
# Interface ruTorrent / autorisation MAC1
-I INPUT -p tcp  -m mac --mac-source A1:B2:C3:D4:E5:F6 --dport 443 -j ACCEPT
# ruTorrent / port.s de com avec peers
-I INPUT -p tcp --dport 57380 -j ACCEPT

COMMIT

Puis tu sauvegardes ces règles

sudo iptables-restore < /etc/iptables.firewall.rules

Puis tu installes iptables-persistent pour rendre ces règles effectivent en cas de reboot

sudo apt-get install iptables-persistent

Dwarf

Hey,
J'ai essayé et malheureusement impossible de le faire marcher correctement. Il bloque bien les connections mais n'acceptent pas celle de l'adresse mac préciser.

Aerya

OK, je me trompe peut-être de commande, peux-tu tester sans --mac-source ?

achris

hello, par hasard ton serveur est sur le même réseau que ta machine possédant l'adresse MAC en question ?

Dwarf

Non, c'est un serveur dédié et je suis chez moi avec mon pc.

achris

Dans ce cas tu ne peux pas faire de filtrage par adresse MAC sur un réseau distant à part si tu passe par un tunnel.
Vu que pour un accès distant le paquet est encapsulé, dans ton cas en Ethernet > IPV4 > TCP, l'adresse MAC que ton serveur reçoit lorsque tu effectue une connexion SSH sera celle de l'équipement réseau en amont par rapport à ton serveur.

Dwarf

Désolé Aerya je n'avais pas vu ton message, je viens d'essayer sans le --mac-source et là il me met une erreur quand je fais iptables-restore < /etc/iptables.firewall.rules . il me marque :

Bad argument `A1:B2:C3:D4:E5:F6'
Error occurred at line: 22
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Et à la ligne 22 j'ai ceci :

-I INPUT -p tcp  -m mac A1:B2:C3:D4:E5:F6 --dport 22 -j ACCEPT

Aerya

@dwarf alors c'est que ma 1ère commande était la bonne.
Et comme le rappelle @achris l'adresse MAC prise en compte est celle de l'équipement réseau qui se connecte. Donc de ta box Internet et non du PC. Comme pour les IP. Tu mets bien la MAC de ta box dans tes règles ?

Dwarf

Non effectivement je ne mettais pas l'adresse de ma box, j'essaye dès que je rentre chez moi.

shyne

Salut,

Par curiosité, pourquoi as tu besoin d'un filtrage mac pour le ssh ? Le système de clef est deja très sécurisé en soi.

achris

Ce que je voulais dire c'est que l'adresse MAC de ton poste ou ton routeur, n'est pas remontée sur ton serveur dédié, c'est celle de l'équipement réseau juste avant ton serveur que tu recevra donc dans tout les cas tu ne peux pas sur un réseau WAN faire de filtrage par adresse MAC à part si tu établi un lien VPN ou tunnel.

jean-luc

shyne wrote:Salut,

Par curiosité, pourquoi as tu besoin d'un filtrage mac pour le ssh ? Le système de clef est deja très sécurisé en soi.

Salut,

T'as bien raison, pourquoi s'emmerder alors qu"une clef ssh en 2048 n'est pas craquable dans un temps raisonnable (- de 10 ans) même avec des moyens disproportionnés :

http://security.stackexchange.com/questions/4518/how-to-estimate-the-time-needed-to-crack-rsa-encryption
http://superuser.com/questions/881063/how-long-would-it-take-to-break-a-1024-bit-openpgp-encrypted-email

Alors même le plus parano, il peut si il le veut en faire en 4096, 8192,..

Et au moins contrairement au mac, tu pourras t'y connecter de partout à condition d'avoir sur toi la clef privée, que tu protèges en plus par pass-phrase pour éviter tout usage par un tiers..

C'est un peu comme s'emmerder avec le port knocking, ça n'apporte rien de plus...mais enfin, c'est chacun qui voit..

shyne

J'ajouterai même que Billy qui a 13 et est en 4eme D saurait spoofer une adresse MAC sur son pc pour jouer au hacker pirate à la récré et installer un serveur Minecraft sur ta machine.

Page suivante »