Posts Tagged “iptables”

Salut à tous,

Après quelques déboires, j’ai rendu opérationnel de nouveau NTP pour fournir l’heure sur internet via le projet pool.ntp.org et remis en état le miroir officiel d’Ubuntu. J’ai du pour cela passer de FTP à HTTP afin de réduire le nombre de port ouvert sur le serveur et contrôler de façon plus drastique les requêtes.

L’effet a été de courte durée… le serveur « explosait » encore en vol sans avoir de message d’erreur dans les logs (enfin presque). J’ai commencé par ajouter les plugin fw_contrack ainsi que fw_packets de munin afin de voir le nombre de connexions TCP / UDP établies et là, j’ai compris d’où venait le problème … (j’avais des pic à 120 000 connexions)

Lire la suite »

Après une fraiche installation d’Ubuntu, il est plus que recommandé de mettre en place un firewall (dommage que ça ne soit pas activé de base lors de l’installation) pour éviter après des installations multiples de logiciels, d’affaiblir la sécurité de votre OS.

Pour installer un firewall (UFW dans notre cas est un « frontend » d’Iptables), je vous renvois vers mon précédent post du mois de mars.

En lançant ces lignes dans un terminal, vous interdirez toutes connexions entrantes sur votre poste de travail, serveur…. et donc vous serez protégé de toutes intrusions réseaux.

sudo ufw enable
sudo ufw default deny
sudo ufw logging on

En trois lignes de commandes, vous avez sécurisé un peu plus votre système

Si jamais le cœur vous en dit, vous pouvez aussi plonger dans IPTABLES, qui n’est ni plus ni moins le firewall utilisé par ufw.

Voici une petite capture du résultat :

$sudo ufw status verbose
État : actif
Journalisation : on (low)
Par défaut : deny (entrant), allow (sortant)
Nouveaux profils : skip

Ah iptables et ses lignes de commandes

Je suis tombé sur un outil qui permet de simplifier encore un peu plus l’utilisation d’iptables pour un usage « trivial ».

Je veux parler de UFW qui est un « nouvel » outil de configuration simplifié en ligne de commande de NetFilter et qui permet une configuration « automatique ».

Il faut bien sûr installer ufw dans un premier temps.

aptitude install ufw

Activer UFW :

sudo ufw enable

Désactiver UFW :

sudo ufw disable

Autoriser le trafic entrant suivant les règles par défaut :

sudo ufw default allow

Refuser le trafic entrant suivant les règles par défaut :

sudo ufw default deny

Afficher l’état actuel des règles

sudo ufw status

Rien de très compliquer en soit ;p

Encore plus fort ! Il existe même (pour les paresseux de la ligne de commande ;p) un GUI !!

Vous n’avez plus de raison pour ne pas utiliser un pare feu maintenant

Voici mes notes pour configurer fail2ban avec pure-ftpd.

apt-get install fail2ban

vi /etc/fail2ban/filter.d/pure-ftpd.conf

Lire la suite »

Ce billet n’a pas la prétention de décrire le fonctionnement d’iptables, mais une aide à la sécurisation d’un nouveau serveur / poste fonctionnant sous n’importe qu’elle distribution Linux. (avec un kernel 2.4 minimum)

Je pars du fait que nous utilisons une distribution Debian/Ubuntu.

Une façon rapide de créer un script qui lancera les règles de filtrage et iptables au démarrage, est de se rendre sur la page web suivante.

Premier cas, le poste de travail :

Vous venez d’installer un PC sous debian testing et vous souhaitez sécuriser ses accès réseaux. Par défaut, iptables est installé et accepte toutes les connexions entrantes et sortantes.

Si vous souhaitez protéger plusieurs interfaces mettez eth+ à la place de eth0. (c’est le cas si vous utilisez une connexion réseau et wifi)

Si par défaut, vous n’acceptez aucune connexion sur votre machine (le cas d’un poste de travail) et que vous récupérez votre adressage via DHCP, (90% des cas) cliquez sur « Generate Firewall« . Vous récupérez un script via votre navigateur. Faites un copier/coller dans un fichier /etc/init.d/fw.sh

Deuxième cas, le serveur :

Il doit accepter des connexions entrantes et a une adresse IP Statique.
Cochez « Static Internet IP Address » et « Allow Inbound Services ».
Appuyez sur « Generate Firewall, une nouvelle page s’ouvre. Il ne vous reste plus qu’à sélectionner les services que vous souhaitez « ouvrir » et indiquer le plan d’adressage du serveur. Une fois renseigné, appuyez sur « Generate Firewall » de nouveau. Faites un copier/coller dans un fichier en /etc/init.d/fw.sh

Exécution/installation du script :
Pour l’exécuter, il faut le rendre exécutable.
Taper : chmod +x /etc/init.d/fw.sh
Pour l’executer : /etc/init.d/fw.sh
Pour l’installer, allez dans le répertoire du script : cd /etc/init.d/ et taper update-rc.d fw.sh defaults

Le script sera exécuté à chaque redémarrage.

Pour aller un peu plus loin, vous pouvez observer les règles en place en tapant la commande iptables -L

Le script généré est assez « simpliste » mais protège déjà pas mal. Si vous voulez aller encore plus loin, je vous invite à faire des recherches sur fwbuilder qui permet de créer le même genre de script mais de façon un peu plus poussé.