[iptables] Sécurisation d'un serveur

Le
Aéris
--BEGIN PGP SIGNED MESSAGE--
Hash: SHA1

Hello les gens !

Je souhaiterai avoir quelques informations et astuces afin de sécuriser
un minimum les connexions réseau d'un serveur.

J'ai déjà une config « standard » : https://gist.github.com/1078590
— DROP par défaut
— acceptation des connexions sur les ports utiles (80, 443, 22…)
— acceptation des connexions déjà établies

1ère question : est-ce que vous trouvez des choses à redire ou à
améliorer dans cette configuration ?

Malheureusement, je subis actuellement des attaques, que je ne parviens
pas à limiter, et qui écroulent rapidement mes machines.
Les attaques proviennent de centaines d'IP différentes, et envoient des
quantités astronomiques de données sur le serveur (100Mb/s en download…).
Tout sature, aussi bien en terme de slots que de bande passante…

2nde question : comment puis-je me prémunir de ce genre d'attaque ?
Limiter la bp ou le nombre de connexion par IP ? Est-ce faisable via
iptables uniquement ?

Merci d'avance pour vos réponses !

- --
Aeris
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEbBAEBAgAGBQJOHJE/AAoJEK8zQvxDY4P9IOYH9iITU44GVIo16YaGUFdYDIZ0
NSGe5izIVZEpaeItAB0RF61yEGXWktP3KQRqouuKWF8+2yw6dqBIe3mz+cn/GThw
dhfeJNinEv0ueAXNVrSXiiNy+kgCcYsqlvdiJK+T2yJvfzNrLHuMK3fFuLZcB2we
IdY77E7HvL2EIHKyrZbZnQkZMq8q7v9MRLC3WlHY6eQysMzM7NSnFWz+V5I3Pk9B
FuHr9wXfEapjNTS1MF7Wjv000hENNd/j7bv0/cL+WbwZmqBLIGYJXrAfRrvTto/+
Z1E7bj79v0/i2sCzzruDjh6oXE+6RdXYGuNti0RZWeFLTifML7noDXK246oPgw==
=uSFy
--END PGP SIGNATURE--
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
ZarkXe
Le #23652411
Bonjour,

Votre configuration m'allaire correcte.
Il peut-être que cet article vous intéresserait : limiter les
connexions avec iptables
http://linux-attitude.fr/post/limitation-de-connexions-avec-iptables.

A ma connaissance, il est très difficile de prévenire les attaque type
dénis de service. A moins que tout ses requêter est un point commun
particulier au quelle cas il pourront être filtre sur cette particularité.

Les attaques par dénis de service que vous subissez est redondant pour
ponctuelle ?

On 07/12/2011 08:24 PM, Aéris wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hello les gens !

Je souhaiterai avoir quelques informations et astuces afin de sécuriser
un minimum les connexions réseau d'un serveur.

J'ai déjà une config « standard » : https://gist.github.com/1078590
— DROP par défaut
— acceptation des connexions sur les ports utiles (80, 443, 22…)
— acceptation des connexions déjà établies

1ère question : est-ce que vous trouvez des choses à redire ou à
améliorer dans cette configuration ?

Malheureusement, je subis actuellement des attaques, que je ne parviens
pas à limiter, et qui écroulent rapidement mes machines.
Les attaques proviennent de centaines d'IP différentes, et envoient des
quantités astronomiques de données sur le serveur (100Mb/s en download…).
Tout sature, aussi bien en terme de slots que de bande passante…

2nde question : comment puis-je me prémunir de ce genre d'attaque ?
Limiter la bp ou le nombre de connexion par IP ? Est-ce faisable via
iptables uniquement ?

Merci d'avance pour vos réponses !

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEbBAEBAgAGBQJOHJE/AAoJEK8zQvxDY4P9IOYH9iITU44GVIo16YaGUFdYDIZ0
NSGe5izIVZEpaeItAB0RF61yEGXWktP3KQRqouuKWF8+2yw6dqBIe3mz+cn/GThw
dhfeJNinEv0ueAXNVrSXiiNy+kgCcYsqlvdiJK+T2yJvfzNrLHuMK3fFuLZcB2we
IdY77E7HvL2EIHKyrZbZnQkZMq8q7v9MRLC3WlHY6eQysMzM7NSnFWz+V5I3Pk9B
FuHr9wXfEapjNTS1MF7Wjv000hENNd/j7bv0/cL+WbwZmqBLIGYJXrAfRrvTto/+
Z1E7bj79v0/i2sCzzruDjh6oXE+6RdXYGuNti0RZWeFLTifML7noDXK246oPgw= > =uSFy
-----END PGP SIGNATURE-----
Publicité
Poster une réponse
Anonyme