Exemple d'automatisation d'un pare-feu via un service pour Linux Debian

ericd69 — Fri, 02 Jun 2017 20:49:20 GMT

Exemple d'automatisation d'un pare-feu
via un service
pour Linux Debian

R�sum�

La mise en place d'un pare-feu est un point cl� incontournable de la configuration d'un serveur en ligne qu'il soit virtuel ou r�el. Ici je vais donc aborder la mise en place sous forme d'un service pour en faciliter l'utilisation. Je parlerais plus particuli�rement du cas de serveurs chez OVH pour la partie monitoring externe.

Pr�requis

Les utilitaires suivants sont n�cessaires :

ifconfig, utilitaire pour la configuration r�seau (mat�riel et logiciels) ;
cat, utilitaire de lecture de fichier texte ;
grep, utilitaire de recherche d'expressions dans des fichiers ou pipe ;
awk, utilitaire de recherche et modification de texte dans des fichiers ou pipe ;
iptables, utilitaire de filtrage r�seau ;
ssh, utilitaire d'administration et de communication.

Notions utilis�es

Les notions suivantes seront pr�f�rables pour mieux comprendre ce qui est fait :

comprendre diverses notions sur les r�seaux (protocoles, NAT, IP, DNS, ports, etc.) ;
comprendre la notion de pipelines et de redirection des sorties sous Linux ;
comprendre la gestion de droit sous Linux ;
comprendre les cha�nes de caract�res heredocs ;
comprendre l'�criture de script ex�cutable dans une console sous Linux ;
comprendre la notion de services sous Debian.

Nota

Il y a moult fa�ons de faire des recherches, extractions ou remplacement de texte dans les diff�rentes distributions de Linux et m�me au sein d'une seule... Celles que je pr�sente ci-dessous ne sont pas forc�ment les plus optimis�es, mais vu que pour leur utilisation dans ce cadre, la vitesse est moins importante que la maintenabilit� et la compr�hension, j'ai pr�f�r� encha�ner des utilitaires que parfois tout faire avec un seul avec une expression plus p�nible � trouver ou comprendre...

1. Les services sous Debian

1.1. Un service c'est quoi ?
Un service (ou d�mon) est un programme qui est lanc� de mani�re automatique au d�marrage du syst�me et s'arr�te en m�me temps que l'arr�t de celui-ci. Il sert � g�rer des actions en t�che de fond et peut agir seul, comme NTP, le service de recalage de l'heure, ou attendre des actions � traiter comme le service iptables qui traitera toutes les interactions r�seau.
Un service est souvent compos� de deux parties :

un script qui va servir � interagir avec le service ;
un ex�cutable persistant qui r�alise les actions correspondant au service.

Le fait de placer un script dans /ect/init.d ne l'active pas.
Pour inscrire en tant que service un script nom_script dans ce r�pertoire, il faut utiliser :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

update-rc.d nom_script defaults

Pour le d�sinscrire :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

update-rc.d -f nom_script remove

� partir de la version Jessie de Debian, le script d'interaction doit r�pondre aux principes de LSB (Linux Standard Base) qui l'obligent � :

permettre au moins les actions suivantes : start, stop, restart, force-reload et status ;
retourner un code de fin d'ex�cution coh�rent (0 ras sinon un probl�me s'est produit) ;
contenir un bloc d'information (un bloc de commentaires sp�cialement format�) donnant obligatoirement les d�pendances de d�marrage et d'arr�t du service.

Un warning est �mis � chaque appel � update-rc.d si ces trois conditions ne sont pas remplies.

1.2. L'utilitaire iptables
C'est donc l'utilitaire qui permet de contr�ler les flux r�seau, il est une interface en ligne de commande � netfilter. Il permet de g�n�rer des filtres sur les paquets en agissant selon leur protocole (TCP, UDP ou ICMP) , leur source ou destination en termes de port et/ou d'URL ou d'IP, le nombre de connexions ou des r�gles de traduction d'adresse (NAT) par exemple. � chaque invocation de iptables avec une r�gle, celle-ci s'ajoute � la cha�ne de r�gles qui seront test�es dans l'ordre de leur ajout jusqu'� ce qu'une d�cision sur le flux soit prise (acceptation, rejet avec ou sans notification � l'�metteur). Des modules optionnels sont � installer voire � compiler selon les besoins. iptables tient son nom du fait que les r�gles sont organis�es en tables. Une pr�sentation succincte de iptables est faite ici.
On pourra lister les r�gles en place avec :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

iptables -L

On notera qu'il existe un paquet Debian pour rendre persistantes les r�gles : iptables-persistent. N�anmoins il ne fait que sauvegarder ou restaurer les r�gles dans un fichier. C'est pour �a que je lui pr�f�re le principe du programme que l'on transforme en service une fois la phase de test finie. En cas d'erreur, tant qu'on n�a pas test� les r�gles avec succ�s, un simple red�marrage du syst�me suffit pour revenir � la configuration pr�c�dente.

2. Un service de pare-feu

2.1. Strat�gie choisie
Dans le cas du pare-feu, il n'y aura que le script d'interaction. L'id�e va �tre de faire un script de g�n�ration, dans le r�pertoire /root, pour le code du script d'interaction qui lui sera dans le r�pertoire /ect/init.d.

2.2. parefeu.sh
2.2.1. But
Le script sera plac� dans le r�pertoire /root et pour le rendre ex�cutable, on utilisera :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

chmod 700 /root/parefeu.sh

Le but de ce script va �tre de :

r�cup�rer la valeur du port SSH ;
r�cup�rer les 24 bits sup�rieurs de l'IP du serveur de monitoring d'OVH ;
cr�er le script du pare-feu.

2.2.2. R�cup�rer la valeur du port SSH
On va utiliser grep sur /etc/ssh/sshd_config pour r�cup�rer la ligne du port utilis� par le service SSH et awk pour extraire le nombre qui est la 2^e valeur de celle-ci.

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

ssh_port=$(cat /etc/ssh/sshd_config | grep Port | awk '{print $2;}')

On peut se passer de cat:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

ssh_port=$(grep Port /etc/ssh/sshd_config | awk '{print $2;}')

Ou m�me tout faire avec awk:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

ssh_port=$(awk '/Port/ {print $2;}' /etc/ssh/sshd_config)

2.2.3. R�cup�rer les 24 bits sup�rieurs de l'IP du serveur de monitoring d'OVH
L'utilitaire ifconfig permet de mettre en place ou de r�cup�rer tout ou partie des configurations r�seau. Nous avons besoin de l'IP externe du serveur, donc nous allons lire la partie concernant l'interface r�seau eth0. On fait un grep pour extraire la ligne qui contient l'IP et enfin on ne garde que l'IP gr�ce � un appel � awk. On obtient le code suivant :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

serveur_ip=$(ifconfig eth0 | grep Bcast | awk '{sub(/[a-zA-Z]+\:/,"",$2); print $2;}')

On peut se passer de grep l� aussi:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

serveur_ip=$(ifconfig eth0 | awk '/Bcast/ {sub(/[a-zA-Z]+\:/,"",$2); print $2;}')

Il peut �tre utile d'avoir l'IP compl�te pour certains cas ou r�glages donc on extrait de celle-ci les codes des 3 premiers octets gr�ce � une commande awk:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

serveur_24=$(echo $serveur_ip | awk -F "." '{print $1"."$2"."$3;}')

2.2.4. D�sinscription du service du pare-feu si besoin
Pour �viter d'avoir des warnings � propos de la modification du code du service, on teste la pr�sence du fichier dans le r�pertoire /ect/init.d et, si le fichier /ect/init.d/parefeu, on d�sinscrit le service parefeu. On utilise pour cela le code suivant :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
if [ -f "/etc/init.d/$parefeu" ]; then
    echo -e "Suppression du referencement du service du service"
    update-rc.d -f $parefeu remove
else
    touch /etc/init.d/$parefeu
    chmod 755 /etc/init.d/$parefeu
fi

2.2.5. Cr�er le script du pare-feu
Pour ce faire, on utilise cat � qui on passe un here doc dont le d�limiteur est la cha�ne de caract�res EOF, et on redirige sa sortie vers un fichier en faisant un remplacement complet du contenu. Comme le d�limiteur n'a pas de quotes, simples ou doubles, autour de lui, tout ce qui suit un $ est interpr�t� comme une variable et replac� par sa valeur. On obtient le code suivant:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
cat <<- EOF > /etc/init.d/$parefeu
#code ici
EOF

2.2.6. Inscription du service du pare-feu
C'est l'action finale du script, elle est r�alis�e par :

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

update-rc.d $parefeu defaults

2.2.7. Code complet du script
Le code complet du script /root/parefeu.sh est:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
#!/bin/sh
reset
# Emplacement du service
parefeu='parefeu'
# Configuration du service
echo -e "\033[7m INSTALLATION DU PAREFEU \033[0m"
echo -e "Recuperation de l'IP du serveur sur eth0"
serveur_ip=$(ifconfig eth0 | awk '/Bcast/ {sub(/[a-zA-Z]+\:/,"",$2); print $2;}')
echo $serveur_ip
echo -e "Recuperation de la portion d'IP du serveur pour le SLA"
serveur_24=$(echo $serveur_ip | awk -F "." '{print $1"."$2"."$3;}')
echo $serveur_24
echo -e "Recuperation du port SSH"
ssh_port=$(awk '/Port/ {print $2;}' /etc/ssh/sshd_config)
echo $ssh_port
if [ -f "/etc/init.d/$parefeu" ]; then
    echo -e "Suppression du referencement du service du service"
    update-rc.d -f $parefeu remove
else
    touch /etc/init.d/$parefeu
    chmod 755/etc/init.d/$parefeu
fi
echo -e "Creation du code du service"
cat <<- EOF > /etc/init.d/$parefeu
#!/bin/sh
### BEGIN INIT INFO
# Provides:          parefeu
# Required-Start:    $syslog $network
# Required-Stop:     $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start firewall daemon at boot time
# Description:       Custom Firewall scrip.
### END INIT INFO
 
firewall_start()
{
    # ---
    # Vider les tables actuelles
    iptables -t filter -F
    # Vider les règles personnelles
    iptables -t filter -X
    # Interdire toute connexion entrante et sortante
    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP
    iptables -t filter -P OUTPUT DROP
    # ---
    # Ne pas casser les connexions etablies
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    # Autoriser loopback
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -j ACCEPT
    # Differentes securites
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo 0 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    # ---
    # Règle de rejet et log des tentatives de connexion en trop sur SSH
    iptables -N SSH_DROP
    iptables -A SSH_DROP -j LOG --log-prefix '[fw drop -> Attack ssh] : '
    iptables -A SSH_DROP -j DROP
    # ---
    # Autoriser le fonctionnement du DNS en UDP
    iptables -t filter -A INPUT -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
    # ---
    # Autoriser ICMP pour les serveur SLA OVH
    iptables -t filter -A INPUT -i eth0 -p icmp -s 92.222.184.0/24,92.222.185.0/24,92.222.186.0/24,167.114.37.0/24 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s 37.187.231.251/32,151.80.118.100/32,151.80.231.244/32,151.80.231.245/32,151.80.231.246/32,151.80.231.247/32 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s 213.186.33.62/32,213.186.45.4/32,213.251.184.9/32,37.59.0.235/32,8.33.137.2/32,213.186.33.13/32,213.186.50.98/32 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s ${serveur_24}.250/32,${serveur_24}.251/32 -m state --state NEW -j ACCEPT
    # Autoriser le monitring OVH
    iptables -t filter -A OUTPUT -o eth0 -p udp -dport 6100:6200 -m state --state NEW -j ACCEPT
    # ---
    # Autoriser le ssh avec anti force brute
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m recent --set --name SSH_BAD
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m recent --update --seconds 60 --hitcount 4 --name SSH_BAD -j SSH_DROP
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --dport ${ssh_port} -m state --state NEW -j ACCEPT
    # ---
    # Autoriser DNS, HTTP, HTTPS en TCP
    iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --dports 53,80,443 -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dports 53,80,443 -m state --state NEW -j ACCEPT
    # Autoriser le FTP sortant en TCP
    iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 20 -m state --state ESTABLISHED -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --sports 21,1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
    # ---
    # Autoriser le recalage d'horloge système
    iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
}
 
firewall_stop()
{
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
#
#    iptables -t nat -F
#    iptables -t nat -X
#    iptables -t nat -P PREROUTING ACCEPT
#    iptables -t nat -P POSTROUTING ACCEPT
#    iptables -t nat -P OUTPUT ACCEPT
#
#    iptables -t mangle -F
#    iptables -t mangle -X
#    iptables -t mangle -P PREROUTING ACCEPT
#    iptables -t mangle -P OUTPUT ACCEPT
}
 
# Corps du programme
case $1 in
    'force-reload')
        echo -e "Demarrage du parefeu"
        firewall_start
        exit 0
    ;;
    'regles' )
        echo -e "Regles actuelles du parefeu"
        iptables -L -v -n
        exit 0
    ;;
    'restart')
        echo -e "Redemarrage du parefeu"
        firewall_start
        exit 0
    ;;
    'start')
        echo -e "Demarrage du parefeu"
        firewall_start
        exit 0
    ;;
    'status' )
        echo -e "Etat du chrgement du parefeu"
        iptables -L -v -n
        exit 0
    ;;
    'stop')
        echo -e "Arret du parefeu"
        firewall_stop
        exit 0
    ;;
    *)
        echo "usage: parefeu {regles|start|stop|restart|status}"
        exit 1
    ;;
esac
EOF
echo -e "Activation du service"
update-rc.d $parefeu defaults
exit 0

2.3. Comment est �crit le service pare-feu
2.3.1. Utiliser des fonctions en bash
Pour faciliter la maintenance et permettre la r�utilisation, on va placer le code des fonctionnalit�s du service dans des fonctions. Une fonction s'�crit de la sorte:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
nom_fonction()
{
#code du corps de la fonction
}

L'invocation d'une fonction est vue comme un appel � un utilitaire ou un script, dans la fonction on utilise donc $1 pour d�signer le premier param�tre, $2 le second, etc. On peut utiliser exit pour fixer un code d'erreur ou non lors de la sortie de celle-ci. Si on prend l'exemple d'une fonction de d�compression g�n�rique:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
decompression ()
{
    if [ -f $1 ]; then
        case $1 in
            (*.7z) 7z x $1 ;;
            (*.lzma) unlzma $1 ;;
            (*.rar) unrar x $1 ;;
            (*.tar) tar xvf $1 ;;
            (*.tar.bz2) tar xvjf $1 ;;
            (*.bz2) bunzip2 $1 ;;
            (*.tar.gz) tar xvzf $1 ;;
            (*.gz) gunzip $1 ;;
            (*.tar.xz) tar Jxvf $1 ;;
            (*.xz) xz -d $1 ;;
            (*.tbz2) tar xvjf $1 ;;
            (*.tgz) tar xvzf $1 ;;
            (*.zip) unzip $1 ;;
            (*.Z) uncompress ;;
            (*) echo -e "'$1' est impossible à décompresser..." ;;
        esac
    else
        echo -e "Erreur: '$1' n'est pas un fichier valide!"
        exit 1
    fi
}

Dans le contexte o� elle est d�finie, si on prend l'exemple de la fonction de d�compression, on peut l'invoquer comme suit:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

decompression fichier

2.3.2. Les fonctions du script du service
On va donc utiliser les fonctions suivantes dans le script:

firewall_start() qui sert � mettre en place les r�gles choisies.
firewall_stop() qui va supprimer tous les filtrages.

2.3.3. Le corps du script du service
Le premier param�tre est l'action que le service doit r�aliser, un case va lui �tre appliqu� pour d�terminer sa valeur:

start, obligatoire, appelle firewall_start().
stop, obligatoire, appelle firewall_stop().
restart, obligatoire, appelle firewall_start().
force-reload, obligatoire, appelle firewall_start().
status, obligatoire, donne l'activit� du service (ind�pendamment de ce qu'on met dedans) et son historique de chargement.
r�gles, particuli�res � ce service, liste les r�gles actives et la r�partition de chacune d'elles de ce qu'elles ont trait� comme octets et paquets.

3. Les r�gles du pare-feu utilis�es dans cet exemple

3.1. Initialisation
3.1.1. Non crypt�
On commence par supprimer toutes les r�gles:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
    # Vider les tables actuelles
    iptables -t filter -F
    # Vider les règles personnelles
    iptables -t filter -X

3.1.2. R�gles par d�faut
On bloque tout en entr�e et sortie:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP
    iptables -t filter -P OUTPUT DROP

3.1.3. Non crypt�
On maintient toutes les connexions sont d�ja �tablies ou les nouvelles qui d�coule de celles-ci:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

On a donc toutes les r�gles suivantes qui ne concerneront que le droit ou non d'ouvrir un flux, on aura donc dans celles-ci:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

-m state --state NEW

3.1.4. On ouvre la boucle locale
On ouvre tout en entr�e et sortie sur la boucle locale:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -j ACCEPT

3.1.5. Quelques petits r�glages de s�curit�
On va mettre en place de r�glages pour augmenter la s�curit�, mais comme ils sont d�pendant du noyau, certains peuvent ne pas fonctionner:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo 0 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

3.2. Le service ssh
On va commencer par cr�er une cha�ne de r�gles, nomm�e SSH_DROP, pour mettre dans le log les tentatives de connexion avant de les jeter sans notification aux �metteurs des paquets:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
    # Règle de rejet et log des tentatives de connexion en trop sur SSH
    iptables -N SSH_DROP
    iptables -A SSH_DROP -j LOG --log-prefix '[fw drop -> Attack ssh] : '
    iptables -A SSH_DROP -j DROP

On ouvre en entr�e et sortie le port qu'on a mis dans la variable [COLOR="#00FF00"]$ssh_port[,/COLOR], mais on impose une limite de 4 connexions par minute pour limiter les tentatives d'attaques par force brute.

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m recent --set --name SSH_BAD
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m recent --update --seconds 60 --hitcount 4 --name SSH_BAD -j SSH_DROP
    iptables -t filter -A INPUT -i eth0 -p tcp --dport ${ssh_port} -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --dport ${ssh_port} -m state --state NEW -j ACCEPT

3.3. Les principaux services
3.3.1. En TCP
On fait une d�claration multiport pour les services TCP courants (DNS, HTTP, HTTPS):

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
    iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --dports 53,80,443 -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dports 53,80,443 -m state --state NEW -j ACCEPT

On notera que le proc�d� de cr�ation de certificats SSL Let's encrypt, maintenant bien support�, ainsi que les utilitaires apt-get, aptitude et wget utilisent les ports 80 et 443 en entr�e et sortie.
3.3.2. En UDP
On ouvre pour le DNS pour son fonctionnement en UDP:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
    iptables -t filter -A INPUT -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT

On ouvre le port du service de mise � jour de l'horloge du serveur:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

    iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

3.3.3. Les autres services TCP et UDP
Ma volont� a �t� de faire un serveur minimaliste donc les services tels que les serveurs de mails ou FTP ne seront pas abord�s ici et seront � rajouter au script si on veut les prendre en compte.

3.4. Le FTP sortant en passif
L'utilitaire wget utilise parfois le protocole FTP. Si en FTP actif, ouvrir les ports 20 et 21 suffit, en mode passif les choses sont plus compliqu�es, ce qui explique un �chec de t�l�chargement alors que la connexion � l'h�te se passe bien. Cela est d� � une connexion suppl�mentaire qui se n�gocie via l'un des ports 20 ou 21. Du coup, les �tats ESTABLISHED et RELATED ne permettent pas de g�rer cette nouvelle connexion. Pour se faire, deux modules optionnels de IPTABLES, ip_conntrack et ip_conntrack_ftp, doivent �tre activ�s gr�ce � modprobe:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp

Il reste � ouvrir les ports disponibles � partir de 1024 pour la connexion suppl�mentaire en cas de connexion sur les ports 20 et 21:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 20 -m state --state ESTABLISHED -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --sports 21,1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

3.5. Le monitoring de l'h�bergeur
3.5.1. En TCP
Dans le cas d'OVH, on a tout un tas de serveurs qui servent pour voir la pr�sence sur le r�seau des serveurs d�di�s et VPS. Ils utilisent le protocole ICPM, on le leur permet donc avec leurs IP comme source:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
    iptables -t filter -A INPUT -i eth0 -p icmp -s 92.222.184.0/24,92.222.185.0/24,92.222.186.0/24,167.114.37.0/24 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s 37.187.231.251/32,151.80.118.100/32,151.80.231.244/32,151.80.231.245/32,151.80.231.246/32,151.80.231.247/32 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s 213.186.33.62/32,213.186.45.4/32,213.251.184.9/32,37.59.0.235/32,8.33.137.2/32,213.186.33.13/32,213.186.50.98/32 -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -i eth0 -p icmp -s ${serveur_24}.250/32,${serveur_24}.251/32 -m state --state NEW -j ACCEPT

3.5.2. Le service RTM
C'est un script qui envoie � intervalle r�gulier pr�programm� tout ou partie d'un ensemble d'informations sur l'�tat du mat�riel, pour OVH:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

    iptables -t filter -A OUTPUT -o eth0 -p udp -dport 6100:6200 -m state --state NEW -j ACCEPT

4. Conclusion

On a ainsi un petit exemple de script facilement personnalisable pour la situation de chacun en rajoutant les services n�cessaires. On pourra se baser sur le sujet du site bien connu de alsacreation sur le sujet: ici. On y trouvera des r�glages suppl�mentaires notamment pour OVH
Pour un serveur de mail, on utilisera certaines de ces actions:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
 
# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
 
# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
 
# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

Pour un serveur FTP dynamique:

Code bash :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
 
# FTP In
modprobe ip_conntrack_ftp # ligne facultative avec les serveurs OVH
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Pour un serveur FTP passif, une plage suppl�mentaire de ports � partir de 1024 sera n�cessaire.

Forum du club des d�veloppeurs et IT Pro - Blogs - ericd69

Exemple d'automatisation d'un pare-feu via un service pour Linux Debian