Discussion :

[gwenhael]

Bonjour,
La question n'est pas très simple à rédiger afin d'éviter les contres sens...
J'ai un serveur qui prend en charge l'ensemble des services ( mail, ssh, http, ftp,etc...).
Ce serveur gère le domaine (dom.tld) ainsi que tous les sous domaines (pop.dom.tld, ssh.dom.tld,...).
Je ne souhaite pas interdire l'accès aux services disponibles selon l'adresse ip ou le nom du client.
Je souhaiterais, comme c'est possible avec les virtual hosts d'apache de faire que les services ne répondent qu'à une adresse précise :
Je souhaiterais qu'une requete sur ftp.dom.tld port 21 soit acceptée, mais par contre la même requête faite sur ssh.dom.tld ou mail.dom.tld sur le port 21 soit refusée.
J'espére que mon explication n'est pas trop confuse.
Merci d'avance
Gwenhaël

[gorgonite]

a priori, pour les virtualhost apache, un .htaccess peut régler le problème


pour le reste, je ne pense pas que ce soit possible, puisque tous les protocoles ne vont pas gérer le nom de domaine depuis lequel tu accèdes à la machine... et pf joue sur les couches 3 à 5 de l'iso, pas au dessus


enfin, je ne suis pas expert, mais ce que tu souhaites ne me semble pas possible, je pense que tu peux bloquer ce qui arrive à une certaine ip sur ta machine, mais pas ce qui arrive à la même ip en fonction du nom de domaine (sauf protocole particulier comme http )

[julp]

pour le reste, je ne pense pas que ce soit possible, puisque tous les protocoles ne vont pas gérer le nom de domaine depuis lequel tu accèdes à la machine... et pf joue sur les couches 3 à 5 de l'iso, pas au dessus

+1, ce n'est pas possible : c'est de l'ordre applicatif, chose que le pare-feu ne peut gérer (d'autant plus que chaque protocole [applicatif] est différent).

[gwenhael]

Bon... tant pis... Merci pour l'information.
Gwenhaël

[Darkfang]

La solution la plus simple me parait d'attribuer une IP différente à chaque nom de domaine et de donner plusieurs IP virtuelles à ta carte réseau derrière.
Du coup suffit simplement de filtrer sur les IP et le compte est bon ^^

[gwenhael]

Sachant que mon fournisseur d'accès ne me fournie qu'une seule adresse comment puis je dire que chaque service à sa propre adresse ?
Au final Même si je peux attribuer autant d'adresse que je veux dans mon reseau local toutes les requêtes ne peuvent arriver que sur l'ip internet que m'a attributé le FAI.
Gwen

[Darkfang]

Ah oui en externe ca va pas le faire ^^

Mais maintenant que j'y pense, ce que tu veux ne doit pas être possible, enfin pas surtout. Autant me http inclut le nom du vhost dans son paquets, autant un ftp ne donnera que l'ip à laquelle il accède. Et dans ce cas, pas moyen de faire de tri sur le nom de domaine utilisé à l'origine.

Sinon pour savoir, quel est l'intérêt de n'autoriser que l'appli associée au nom de domaine?

[gwenhael]

L'interet ? Aucun je pense... Enfin si arriver à limiter les attaques... Et puis aussi pour apprendre...

[Darkfang]

Niveau limite d'attaques, je pense que c'est assez limite.
Le premier truc étant de pas utiliser les ports par défaut. Ca limite la plupart des attaques automatisées. Mais pas les attaques manuelles. Un bon scan de port dira toujours la vérité ^^

Ce que je fais en plus (au moins pour le ssh c'est mon seul port ouvert), j'ai un script qui se lance tt les 5 minutes, surveille les logs de sshd, et rajoute une regle dans mon firewall qui bloque les ip ayant fait de plus de 5 tentatives erronées. Enfin pour le moment il est encore en cours de finition ^^
J'ai aussi un autre script qui reset toutes ces regles au milieu de la nuit histoire que si je merdouille sur mon mot de passe je sois pas vérouillé ad vitam eternam ^^

[gwenhael]

J'y ai pensé, j'ai faillit le faire ... Et puis je me suis souvenu que je suis étudiant et qu'à la fac... C'est déjà laborieux d'utiliser ssh alors si je commence à m'amuser à changer les ports... Faudra plus que je m'étonne de ne rien pouvoir faire...
Juste pour faire du ssh depuis un poste il faut que je me connecte à mon compte sur une machine particulière et que de là je me connecte sur mon serveur...
a+
Gwen

[Darkfang]

Bah pour le sshd ca prend pas longtemps.
Faut aller dans le fichier de conf (en général /etc/ssh/sshd_config)
et remplacer:
Port 22
par:
Port 822

Puis relancer le serveur

[gwenhael]

Je sais mais si je fais ca je ne pourrais plus me connecter en ssh depuis la fac ni même utiliser subversion qui me sert pour les TPs et TDs...

[Darkfang]

Uais si ils bloquent les ports en sortie c'est lourd ^^

[gwenhael]

Ben sortie du port 80... Nada depuis un ordinateur des salles de TPs...
Cela dit j'ai pas encore essayé de casser leur """""sécurité""""", mais les tunnels ssh ca va pas tarder