IpTables - Précautions de bases pour 'Serveur GNU/Linux'
Config de base
Ce script de base sert à sécuriser un minimum un serveur informatique, sous OS GNU/Linux.
Remarque pertinente : Une machine dite workstation
qui a besoin d'imprimer sur une imprimante réseau ou une dite partagée
, et/ou dans un environnement multi-plateformes, donc qui utilisera Cupsys et/ou non SaMBa, se comportera alors comme un serveur !!!
Il vous faudra modeler votre script firewall selon ces principes qui suivent ci-dessous en ouvrant les ports et protocoles adhéquats à ce fonctionnement.
- Explications
- Dans un premier temps, il rejette tout TRAFFIC TCP/IP
- Il accepte le traffic qui est initialisé par la machine locale vers Internet
- Il accepte le traffic qui vient d'Internet, mais qui a été initialisé par la machine locale
- Il autorise les connexions sur des ports spécifiques cf /etc/services pour connaître les numéros de port à ouvrir
- Il rejette d'Internet tout ce qui n'a pas été initialisé par la machine locale
Script FireWall(ant)
Vous pouvez lire directement le fichier 'firewalling' et le téléchargez si vous voulez !
- Version plus critique
- Voici le même script mais en version très précis concernant :
- => la recherche des infos sur l'ip de la carte réseau, son masque, son broadcast, son réseau pour s'en servir dans...
- => l'implémentation du flux source
-s, du flux destination-det la précision de la carte, soit-o eth0si le flux est sortant, soit-i eth0s'il est entrant ! - => auparavant, il y a purge de toutes les règles et rejette tout traffic !
Ainsi, ce script est plus critique dans ses rejets ou acceptations des données entrantes ou sortantes !
Et, je vous conseille fortement d'user de celui-là, et de continuer à écrire vos futures règles selon cette schématique...
Vous pouvez lire directement le fichier 'firewalling' et le téléchargez si vous voulez !
Pour finir...
De droits
Vouz devez faire passer chacun de ces 3 scripts suivants par ca :
chown root:root /nom_du_rep/nom_du_script
chmod 750 /nom_du_rep/nom_du_script
CA aussi c'est SECURE ! - enfin, un petit peu ; car seul 'root' a le droit de...
Gestion des niveaux de services
Les informations de ce chapitre sont à lier avec le script firewallant de cette page.
Notre Debian, bien aimée, nous permet d'interfacer le script firewallant avec les niveaux de démarrage et d'arrêt des services du système, les fameux run-levels.
Après avoir copier le script firewallant dans le répertoire /etc/init.d, et lui avoir donner les droits adéquats :
chown root:root /etc/init.d/firewall_srvr et chmod 0755 /etc/init.d/firewall_srvr, passons à la gestion des niveaux de services correspondants.
La commande est : update-rc.d firewall_srvr start 13 2 3 4 5 . stop 99 0 1 6 .
Cela permet aussi système de le démarrer dans les niveaux 2, 3, 4 et 5 et de l'arrêter dans les niveaux 0, 1 et 6.
et donc de fonctionner quand le systéme est allum´ et de s'arrêter proprement à l'arrêt de celui-ci.
Si vous voulez supprimez de tous les services, faites : update-rc.d firewall_srvr remove ; pour le reste, lisez le man correspondant.
De même qu'il est nécessaire de protéger la Pile TCP/IP pour renforcer la robustesse du système ! ;)
Pagination
<<| Page : IpTables : srvr : |>>