IpTables - Précautions de bases pour 'Serveur GNU/Linux'

Config de base

Ce script de base sert à sécuriser un minimum un serveur informatique, sous OS GNU/Linux.

Remarque pertinente : Une machine dite workstation qui a besoin d'imprimer sur une imprimante réseau ou une dite partagée, et/ou dans un environnement multi-plateformes, donc qui utilisera Cupsys et/ou non SaMBa, se comportera alors comme un serveur !!!
Il vous faudra modeler votre script firewall selon ces principes qui suivent ci-dessous en ouvrant les ports et protocoles adhéquats à ce fonctionnement.

Explications
Dans un premier temps, il rejette tout TRAFFIC TCP/IP
Il accepte le traffic qui est initialisé par la machine locale vers Internet
Il accepte le traffic qui vient d'Internet, mais qui a été initialisé par la machine locale
Il autorise les connexions sur des ports spécifiques cf /etc/services pour connaître les numéros de port à ouvrir
Il rejette d'Internet tout ce qui n'a pas été initialisé par la machine locale

 

Script FireWall(ant)

Fichier des Règles Iptables pour sécuriser un minimum un serveur GNU/Linux !

Vous pouvez lire directement le fichier 'firewalling' et le téléchargez si vous voulez !

Version plus critique
Voici le même script mais en version très précis concernant :
=> la recherche des infos sur l'ip de la carte réseau, son masque, son broadcast, son réseau pour s'en servir dans...
=> l'implémentation du flux source -s, du flux destination -d et la précision de la carte, soit -o eth0 si le flux est sortant, soit -i eth0 s'il est entrant !
=> auparavant, il y a purge de toutes les règles et rejette tout traffic !

 

Fichier des Règles Iptables pour sécuriser au plus précis un serveur GNU/Linux, selon l'implémentation du ou des service(s) !

Ainsi, ce script est plus critique dans ses rejets ou acceptations des données entrantes ou sortantes !
Et, je vous conseille fortement d'user de celui-là, et de continuer à écrire vos futures règles selon cette schématique...

Vous pouvez lire directement le fichier 'firewalling' et le téléchargez si vous voulez !

Pour finir...

De droits

Vouz devez exécuter sur chaque script :
chown root:root /nom_du_rep/nom_du_script
chmod 750 /nom_du_rep/nom_du_script

CA aussi c'est SECURE ! - enfin, un petit peu ; car seul 'root' a le droit de...

Gestion des niveaux de services

Les informations de ce chapitre sont à lier avec le script firewallant de cette page.

 

Notre Debian, bien aimée, nous permet d'interfacer le script firewallant avec les niveaux de démarrage et d'arrêt des services du système, les fameux run-levels.

Après avoir copier le script firewallant dans le répertoire /etc/init.d, et lui avoir donner les droits adéquats :
chown root:root /etc/init.d/firewall_srvr et chmod 0755 /etc/init.d/firewall_srvr, passons à la gestion des niveaux de services correspondants.

La commande est : update-rc.d firewall_srvr start 13 2 3 4 5 . stop 99 0 1 6 .
Cela permet aussi système de le démarrer dans les niveaux 2, 3, 4 et 5 et de l'arrêter dans les niveaux 0, 1 et 6.
et donc de fonctionner quand le systéme est allum´ et de s'arrêter proprement à l'arrêt de celui-ci.

 

Si vous voulez supprimez de tous les services, faites : update-rc.d firewall_srvr remove ; pour le reste, lisez le man correspondant.

De même qu'il est nécessaire de protéger la Pile TCP/IP pour renforcer la robustesse du système ! ;)

 


<<| Page : Linux : IpTables : srvr : |


 

 

^ Haut de page ^