Sécurité - Script Firewall

[PaJa41 60]

Niveau requis : Intermédiaire

Temps estimé : 15 minutes

Bonsoir à tous !

 

Je vous propose donc un tutoriel pour sécuriser un peu votre serveur. C'est très simple, je vais tout vous expliquer.

 

Partie 1

 

Révélation

 

Premièrement vous devez activer le pf sur votre machine, pour cela, direction le rc.conf (dans /etc) par commande ça donne :

ee /etc/rc.conf

 Vous y ajouterait donc ceci :

pf_enable="YES"
pf_rules="/etc/pf.conf"

Voilà !

 

 

Partie 2

 

Révélation

 

Le pf.conf sera le fichier contenant les règles. Je ne connais pas la commande pour activer le pf sans reboot, alors ici vous devez rebooter afin de l'activer, si quelqu'un sait comment l'activer sans rebooter faites m'en part j'éditerais mon sujet Voila, après le reboot logiquement le pf est activé.

 

Maintenant nous allons procédez au règle, tout d’abord on créé le pf.conf avec une commande :

ee /etc/pf.conf

On y ajoute les règles :

#Macros
host_ip  = "{ xxx.xxx.xxx.xxx  }" # Ip public de votre serveur
ext_if = "xxx"                    # nom external interface obtenue grace à la commande ifconfig
lpb_if = "lo0"                    # loopback interface 127.0.0.1 / ::1
rtm_ip       = "{ 91.121.77.251 }" # exemple d'ip pour ceux ayant un serveur OVH

#Options
set skip on $lpb_if                # Ne pas surveiller loopback

#Tables
table  persist file "/etc/spammer"  # Fichier des IP bannies
table  persist            # Table dynamique des attaques http

#Traffic Normalization
scrub in                        # Recomposition des paquets entrants

#Packet Filtering
pass in all
block in quick from { ,  }    # Blocage entrant des IP enregistrees
pass out quick on $ext_if inet from ($ext_if) to any    # Passer tout ce que le serveur genere !!!

# Si plus de 100 ou plus de 10 connexions (entrantes) par seconde (50/5), placer l'IP concernee dans la table web_abuse
pass in on $extOif pzo4o tcp from any to $ext_if port http keep state \
   (max-src-conn 100, max-src-conn-rate 50/5, overload  flush)

pass in all
# Permettre tout ICMP : j'ai envie de pinguer mon serveur, et de toute
# façon c'est nécessaire pour ip6.
pass proto { icmp icmp6 }

# Logiciel RTM d'OVH
pass out proto udp         from $host_ip  to $rtm_ip     port 6100:6199

Puis on recharge les règles à l'aide de :

pfctl -f "/etc/pf.conf"

A la suite de ça vous serez un peu plus sécurisé et je tiens a préciser que ce sont des règles dynamiques et qu'il n'y a donc pas besoin de crontab.

 

 

Cordialement,

Hey hey

[Kameyu 170]

Merci à toi, ça peut être utile !

[PaJa41 60]

De rien ^^

[herostar34 69]

Bonjour,

 

Merci pour ce tutoriel trés sympathique.

Je déplace dans la section tutoriel.

 

Cordialement.

[PaJa41 60]

De rien

[toblerone 13]

Et toutes les attaques qui ne sont pas sur le port http t'en fais quoi?

[Kameyu 170]

Et toutes les attaques qui ne sont pas sur le port http t'en fais quoi?

 

Personne n'a dit que ça bloquait toutes les attaques..:huh:

[PaJa41 60]

ça bloque quand même ^^

mais je vais améliorer ^^

Je viens de passer de pass in all en block in all ^^ je modifirait

[jade9477 11]

Merci, J'ajouterais un autre tutoriel au niveaux sécurité serveur

[PaJa41 60]

D'accord merci à toi