Mais c’est quoi ce post pourris ? Si tu utilise Proxmox c’est pour faire des serveur virtuel donc avec plusieurs IP. Hey m’agresse pas ! Dans certains cas ça peut être utile :), récemment j’ai vu une infra basé sur VMware ESXi pour sauvegarder les VMs de la manière la plus propre sur ESXi le…
Pourquoi ? Il peut être parfois utile de rediriger les ports d’une machine vers une autre, par exemple lorsque vous changez de machine et que vos DNS ne sont pas encore propagés; bon le souci reste que l’ip « vu » par le serveur ver lequel les ports sont redirigeait est l’ip de la machine qui fait…
Sur un serveur dédié le réglage du firewall est souvent négligé et pourtant il est important de le configurer correctement pour éviter les mauvaises surprises. Pour commencer éditer un fichier qui contiendras nos regles :
|
1 |
nano /etc/init.d/iptables.sh |
Dans ce fichiers mettez-y :
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 |
#!/bin/sh ### BEGIN INIT INFO # Provides: iptables # Required-Start: $remote_fs $syslog # Required-Stop: # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: Script pour gerer les iptables # Description: Gestions des iptables du serveur. # toute les ouvertures de port, les bannissements # les drop les rejects... seront indiques ici. ### END INIT INFO # Vider les tables iptables -t filter -F iptables -t filter -X # On refuse tout iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # On ne ferme pas les connexions etablie iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # boucle locale (On autorise tout sur 127.0.0.1) iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT # Ping (entrant et sortant) iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # SSH // Pour plus de sécurité changer le port par défaut (etc/ssh/sshd_config). iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # SSH (Pour se connecter a d'autres serveurs) iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT # HTTP (Connection entrante) iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP (Connection sortante) iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT # HTTPS (Connection entrante) iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS (Connection sortante) iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT # Sortie DNS iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # Sortie NTP iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT # Exemple Teamspeak 3 (Décomentez pour utiliser) # Port Voix IP # iptables -t filter -A INPUT -p udp --dport 9987 -j ACCEPT # Port transfert de fichier # iptables -t filter -A INPUT -p tcp --dport 30033 -j ACCEPT # Port TS3 Query (administration Telnet, remplacer IP_AUTORISEE par votre ip par exemple) # iptables -t filter -A INPUT -s IP_AUTORISEE -p tcp --dport 10011 -j ACCEPT # Si vous avez une license teamspeak 3 # iptables -t filter -A INPUT -p tcp --dport 2008 -j ACCEPT # Exemple Mumble (Décomentez pour utiliser) # iptables -t filter -A INPUT -p tcp --dport 64738 -j ACCEPT # iptables -t filter -A INPUT -p udp --dport 64738 -j ACCEPT |
Une fois le fichier enregistrer il faut le rendre exécutable pour celà
|
1 |
chmod +x /etc/init.d/iptables.sh |
…