Discussion :

[Freezer75]

Bonjour, pouvez-vous m'expliquer comment faire avec iptables pour :

Bloquer toute connection ( ssh, ftp, sftp ) sur mon vps et autoriser seulement l'ip local du vps + l'ip d'un autre serveur

Et autorisé l'acces a mon site web pour toute les ip's ( site web apache2 )

J'ai réussi a bloquer les connections a mon serveur, et a autorisé seulement 2 ip's, mais ensuite j'ai bon ouvrir les ports 80 et 443 mon serveur web reste toujour inaccessible

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
sudo iptables -A INPUT -i lo -j ACCEPT 
sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT 
sudo iptables -A INPUT -s IPMONVPS -j ACCEPT 
sudo iptables -A INPUT -j DROP 
 
sudo iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT 
sudo iptables -A OUTPUT -d IPMONVPS -j ACCEPT 
sudo iptables -A OUTPUT -j DROP 
sudo iptables -A FORWARD -j DROP

Donc jusqu'a la sa fonctionne seul mon vps peut se connecter a mon autre vps,

et le serveur web ici est encore inaccessible alors que je voudrais qu'il soit accessible par tous le monde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

[N_BaH]

Bonjour,

je ne suis pas un spécialiste d'iptables, cependant il me semble me souvenir qu'il faut d'abord refuser/drop, puis accepter au cas par cas...

[JeitEmgie]

L'évaluation des règles s'arrête à la première qui correspond
donc on les écrit de la plus précise à la plus générale

[N_BaH]

je me suis rafraîchi les souvenirs à la source :

netfilter.org : packet filtering HOWTO (fr)

Dans l'univers de la sécurité informatique, la sagesse élémentaire suggère de tout fermer puis de créer des ouvertures quand c'est nécessaire. On l'exprime habituellement ainsi : `tout ce qui n'est pas explicitement autorisé est interdit'. Je vous recommande cette approche si la sécurité est votre souci majeur.

OK, dans la suite de la page, le script donné en exemple place la chaîne DROP en dernier.

[Freezer75]

Oui j'ai fais comme sa, actuellement seul mon autre vps peut se connecter a mon vps, donc sa c'est bon, mais maintenant iptables a bloquer l'accès via Google ect a mon site héberger sur ce vps et je n'arrive pas a le rendre accessible

[Sclarckone]

et le serveur web ici est encore inaccessible alors que je voudrais qu'il soit accessible par tous le monde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Comme cela a été rappelé l'ordre des règles a une importance, vous pouvez l'afficher avec la commande iptables -S.

Pour les règles que vous voulez définir pour rendre votre serveur web accessible :

• Pourquoi utiliser la combinaison -m conntrack --cstate si votre but est d'accepter toutes les connexions entrantes ?
• Pourquoi filtrer sur le port source de l'émetteur (--sport 80) ?

Selon moi les règles pour rendre votre serveur web accessible depuis l'extérieur devraient plutôt ressembler à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT