"www.CONTACTMOI.com" écrivait dans le message de news:4117ba60$0$4341$
Bonjour, bonsoir,
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH).
bravo :-)
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir quoi ajouter ou retirer... ah bon ...
Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ? ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,
web, ftp, web sécurisé, serveur d'envoi et de reception du courrier ! Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.
je te conseille de taper "port 10000" dans google ... juste pour voir.
Merci pour votre aide,
de rien.
pour comprendre un peu iptables : http://christian.caleca.free.fr/
Tibo
"www.CONTACTMOI.com" wrote in message news:4117ba60$0$4341$
Bonjour,
Bonjour.
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH).
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir quoi ajouter ou retirer...
Ci-dessous mes règles...
Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?
Je n'ai pas regardé d'erreurs, mais une chose que tu peux faire pour optimiser, c'est créer une chaîne utilisateur (user chain) pour améliorer le traitement de tes paquets.
En effet, dans tes règles, si tu reçois bcp de paquets ICMP (ce qui est le cas dans la vie réelle), ton paquet doit être comparé à HUIT règles TCP (pour lesquelles on s'en fout finalement, puisque ton paquet est ICMP !), avant de finalement pouvoir être comparé aux règles ICMP.
Une solution pourrait être de mettre les règles TCP après les règles ICMP. Mais le problème serait le même pour les paquets TCP (quoique moins important).
Une solution plus fine consiste à rediriger l'analyse de tes paquets TCP vers une sous-chaîne. Du genre :
Chain INPUT (policy REJECT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED Input_TCP tcp -- anywhere anywhere Input_ICMP icmp -- anywhere anywhere DROP all -- anywhere anywhere
Comme ça, seuls les paquets TCP seront examinés par toutes les règles TCP et pareil pour l'ICMP (je l'ai fait pour la forme, mais en réalité, il y a si peu de règles ICMP que c'est inutile selon moi). D'autre part, il est bien de mettre les polices des chaines par défaut à REJECT.
Merci pour votre aide
Padoikoi, j'attends tes réactions.
"www.CONTACTMOI.com" <A_EFFACER_adk-a@lemel.fr> wrote in message
news:4117ba60$0$4341$626a14ce@news.free.fr...
Bonjour,
Bonjour.
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez
OVH).
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir
quoi ajouter ou retirer...
Ci-dessous mes règles...
Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?
Je n'ai pas regardé d'erreurs, mais une chose que tu peux faire pour
optimiser, c'est créer une chaîne utilisateur (user chain) pour améliorer le
traitement de tes paquets.
En effet, dans tes règles, si tu reçois bcp de paquets ICMP (ce qui est le
cas dans la vie réelle), ton paquet doit être comparé à HUIT règles TCP
(pour lesquelles on s'en fout finalement, puisque ton paquet est ICMP !),
avant de finalement pouvoir être comparé aux règles ICMP.
Une solution pourrait être de mettre les règles TCP après les règles ICMP.
Mais le problème serait le même pour les paquets TCP (quoique moins
important).
Une solution plus fine consiste à rediriger l'analyse de tes paquets TCP
vers une sous-chaîne.
Du genre :
Chain INPUT (policy REJECT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
Input_TCP tcp -- anywhere anywhere
Input_ICMP icmp -- anywhere anywhere
DROP all -- anywhere anywhere
Comme ça, seuls les paquets TCP seront examinés par toutes les règles TCP et
pareil pour l'ICMP (je l'ai fait pour la forme, mais en réalité, il y a si
peu de règles ICMP que c'est inutile selon moi).
D'autre part, il est bien de mettre les polices des chaines par défaut à
REJECT.
"www.CONTACTMOI.com" wrote in message news:4117ba60$0$4341$
Bonjour,
Bonjour.
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH).
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir quoi ajouter ou retirer...
Ci-dessous mes règles...
Pouvez vous me dire si vous voyez des erreurs ou des choses à modifier ?
Je n'ai pas regardé d'erreurs, mais une chose que tu peux faire pour optimiser, c'est créer une chaîne utilisateur (user chain) pour améliorer le traitement de tes paquets.
En effet, dans tes règles, si tu reçois bcp de paquets ICMP (ce qui est le cas dans la vie réelle), ton paquet doit être comparé à HUIT règles TCP (pour lesquelles on s'en fout finalement, puisque ton paquet est ICMP !), avant de finalement pouvoir être comparé aux règles ICMP.
Une solution pourrait être de mettre les règles TCP après les règles ICMP. Mais le problème serait le même pour les paquets TCP (quoique moins important).
Une solution plus fine consiste à rediriger l'analyse de tes paquets TCP vers une sous-chaîne. Du genre :
Chain INPUT (policy REJECT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED Input_TCP tcp -- anywhere anywhere Input_ICMP icmp -- anywhere anywhere DROP all -- anywhere anywhere
Comme ça, seuls les paquets TCP seront examinés par toutes les règles TCP et pareil pour l'ICMP (je l'ai fait pour la forme, mais en réalité, il y a si peu de règles ICMP que c'est inutile selon moi). D'autre part, il est bien de mettre les polices des chaines par défaut à REJECT.
Merci pour votre aide
Padoikoi, j'attends tes réactions.
Annie D.
Tibo wrote:
D'autre part, il est bien de mettre les polices des chaines par défaut à REJECT.
Pas possible, les seules cibles par défaut valides sont ACCEPT et DROP.
Personnellement, pour un serveur j'aurais été beaucoup plus stricte en sortie. Pour la conformité aux standards j'aurais remplacé le DROP final par des REJECT avec réponse adaptée (TCP RST pour TCP excepté RST, port unreachable pour UDP, protocol unreachable pour les autres protocoles excepté ICMP). J'aurais aussi accepté les ICMP echo request de partout car c'est un outil de diagnostic utile injustement diabolisé. Le tout éventuellement avec des limites de concordance (match limit).
Tibo wrote:
D'autre part, il est bien de mettre les polices des chaines par défaut à
REJECT.
Pas possible, les seules cibles par défaut valides sont ACCEPT et DROP.
Personnellement, pour un serveur j'aurais été beaucoup plus stricte en
sortie. Pour la conformité aux standards j'aurais remplacé le DROP final
par des REJECT avec réponse adaptée (TCP RST pour TCP excepté RST, port
unreachable pour UDP, protocol unreachable pour les autres protocoles
excepté ICMP). J'aurais aussi accepté les ICMP echo request de partout
car c'est un outil de diagnostic utile injustement diabolisé. Le tout
éventuellement avec des limites de concordance (match limit).
D'autre part, il est bien de mettre les polices des chaines par défaut à REJECT.
Pas possible, les seules cibles par défaut valides sont ACCEPT et DROP.
Personnellement, pour un serveur j'aurais été beaucoup plus stricte en sortie. Pour la conformité aux standards j'aurais remplacé le DROP final par des REJECT avec réponse adaptée (TCP RST pour TCP excepté RST, port unreachable pour UDP, protocol unreachable pour les autres protocoles excepté ICMP). J'aurais aussi accepté les ICMP echo request de partout car c'est un outil de diagnostic utile injustement diabolisé. Le tout éventuellement avec des limites de concordance (match limit).
Nicolas Favre-Felix
Bonjour,
Bonsoir
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH). Les règles implémentées sont celles de base... mais j'avoue ne pas savoir quoi ajouter ou retirer... ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,
web, ftp, web sécurisé, serveur d'envoi et de reception du courrier ! Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.
Les serveurs dédiés d'OVH disposent souvent de Webmin, qui tourne en SSL sur le port 10000... Pour y accéder, il vaut mieux laisser le ACCEPT
Bonjour,
Bonsoir
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez
OVH).
Les règles implémentées sont celles de base... mais j'avoue ne pas savoir
quoi ajouter ou retirer...
ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,
web, ftp, web sécurisé, serveur d'envoi et de reception du courrier !
Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.
Les serveurs dédiés d'OVH disposent souvent de Webmin, qui tourne en SSL
sur le port 10000...
Pour y accéder, il vaut mieux laisser le ACCEPT
Je viens d'activer mon fire-wall (IPTABLE) sur mon serveur dédié (chez OVH). Les règles implémentées sont celles de base... mais j'avoue ne pas savoir quoi ajouter ou retirer... ben heu, a part le port 10000, tu peux laisser le reste si tu es serveur,
web, ftp, web sécurisé, serveur d'envoi et de reception du courrier ! Sinon tout peut sortir et rien ne rentre, sauf ce qui est spécifié.
Les serveurs dédiés d'OVH disposent souvent de Webmin, qui tourne en SSL sur le port 10000... Pour y accéder, il vaut mieux laisser le ACCEPT
