Bonjour tout le monde ...
Je désire protéger mon serveur Debian "Wheezy" des attaques qu'il reçoit pour l'instant.
Un serveur Asterisk est installé et des tentatives à répétition de hacking sont envoyées sur le port WAN.
J'ai pourtant placé des règles dans mon IPTables pour empêcher l'accès mais ça me semble sans effet ...
Voici la config de mon IPtables :
#!/bin/bash
###############################################################################
# NAME: /root/scripts/firewall-start
###############################################################################
###############################################################################
# Variables globales
###############################################################################
echo " + ============== NETFILTER TABLES INITIALIZATION STARTUP ==============="
# /etc/network/if-pre-up.d/iptables-start
IFWEB='eth1'
IFLAN='eth0'
IPADDR='x.x.x.x' # mon adresse IP officielle
# REMISE a ZERO des regles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par defaut"
# Je veux que les connexions entrantes soient bloquees par defaut
iptables -P INPUT DROP
# Je veux que les connexions destinees a etre forwardees
# soient bloquees par defaut
iptables -P FORWARD DROP
# Je veux que les connexions sortantes soient acceptees par defaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par defaut"
# DEBUT des regles de filtrage
# Pas de filtrage sur l'interface de "loopback"
#iptables -A INPUT -s $IPADDR -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Pas de filtrage sur l'interface LAN
iptables -A INPUT -i $IFLAN -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
#iptables -A INPUT -p icmp -j ACCEPT
# J'accepte les packets entrants relatifs a des connexions deja etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# SSH joignable de sur port LAN
#iptables -A INPUT -s $IFLAN -p tcp --dport 22 -j ACCEPT
# SIP joignable de l'exterieur
iptables -A INPUT -i $IFWEB -p udp -m udp --dport 5060:5062 -j ACCEPT
# IAX2- the IAX protocol
iptables -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
# RTP - voice and others
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
# La regle par defaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par defaut)
# par facilite on jette les paquets NETBIOS pour ne pas les loguer
iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --dport 138 -j DROP
# certaines adresses sont rejetées (tentative de hacking)
# host a bannir
iptables -A INPUT -i $IFWEB -p tcp --source 212.129.41.70 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 212.129.41.70 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 192.111.144.90 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 192.111.144.90 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 199.115.117.5 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 199.115.117.5 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 142.54.168.226 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 142.54.168.226 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 212.129.10.161 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 212.129.10.161 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 212.129.10.162 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 212.129.10.162 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 192.198.99.132 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 192.198.99.132 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --source 5.196.76.153 -j DROP
iptables -A INPUT -i $IFWEB -p tcp --destination 5.196.76.153 -j DROP
iptables -A INPUT -i $IFLAN -p tcp --source 5.196.76.153 -j DROP
iptables -A INPUT -i $IFLAN -p tcp --destination 5.196.76.153 -j DROP
# il faudrait ici configurer une facilite particuliere pour ne pas polluer
# les fichiers log "standard"
iptables -A INPUT -j LOG --log-prefix "IPTABLES paquets refuses : "
iptables -A INPUT -j REJECT
echo " + ============== NETFILTER TABLES INITIALIZATION ENDING ==============="
Mais le serveur Asterisk continue à recevoir des appel (qui ne sont pas authentifiés heureusement) depuis des adresses qui se trouvent pourtant dans la liste des adresses rejetées ..
Voici quelques les lignes affichées dans la console Astersik
[Dec 4 22:49:48] NOTICE[2643]: chan_sip.c:28091 handle_request_register: Registration from '"tamie" <sip:tamie@81.246.9.125>' failed for '5.196.76.153:10256' - Wrong password
[Dec 4 22:49:48] NOTICE[2643]: chan_sip.c:28091 handle_request_register: Registration from '"tamie" <sip:tamie@81.246.9.125>' failed for '5.196.76.153:10256' - Wrong password
[Dec 4 22:49:48] NOTICE[2643]: chan_sip.c:28091 handle_request_register: Registration from '"tamie" <sip:tamie@81.246.9.125>' failed for '5.196.76.153:10256' - Wrong password
[Dec 4 22:49:48] NOTICE[2643]: chan_sip.c:28091 handle_request_register: Registration from '"tamie" <sip:tamie@81.246.9.125>' failed for '5.196.76.153:10256' - Wrong password
Je pensais que le IPTables empêcherait à un host comme celui dont l'adresse apparaît dans ces lignes d'accéder au serveur.
Pouvez-vous me dire pourquoi ?
D'avance un grand merci pour votre aide.
Partager