Sécurité - Script Firewall

[Mandrilux 18]

Niveau requis : Intermédiaire

Temps estimé : 3 minutes

 

Bonjour à tous,

 

Suite à de nombreux serveur qui se font attaquer, je partage un firewall (paquet filter) sous unix que j'ai realisé, c'est une petite partie d'une protection complète mais permet pas mal de chose. Le code est a placer dans /etc/pf.conf.

 

Révélation

 

On active les paquet filter ainsi que ces logs, dans /etc/rc.conf écrivez ceci :

# Packet Filter                    
pf_enable="YES"
pf_rules="/etc/pf.conf" # Fichier de règles à charger
pflog_enable="YES"

 

PF.CONF

### Définition de la carte réseau ###
## on remplace em0 par votre interface reseau (ifconfig pour l'avoir) ##
ext_if="em0" 

## mettez ici l'adresse ip de votre serveur privé ##
jeu="46.x.x.x" 

set limit states 5000000
set limit src-nodes 19000000
#set optimization aggressive
#set timeout tcp.established 86400
#set timeout tcp.finwait 30
#set block-policy return

## on autorise le loockback
set skip on lo


### Blocage totale des inconnus sur mysql ###
block log on $ext_if proto tcp to ($ext_if) port 3306

### Accès accorder ###
table  persist file "/blacklist"
table  { 88.167.186.221, 80.10.159.228 , 178.32.27.45 , 90.84.146.248 , 109.213.206.74 , 127.0.0.1 , 46.x.x.x ,  37.59.64.133 , xx.xx.xx.xx ,xxxx.x.x.x }

pass log quick inet from  to $ext_if label "RULE 1 -- ACCEPT "


### Limitation des attaques et blocage des indésirables ###
table  persist file "/blacklist"
block log quick from  to any
block log quick from any to 
pass in on $ext_if proto tcp to $jeu port 11002 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13000 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13001 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13002 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)

pass in quick on $ext_if proto tcp from IPDUSITEWEB
pass in quick on $ext_if proto tcp from 127.0.0.1
pass in quick on lo proto tcp from 127.0.0.1
pass in quick on $ext_if proto tcp from IPDUDEDIE

Redémarrer votre serveur dédié et ensuite recharger la configuration de paquet filter :

pfctl -f /etc/pf.conf

 

 

Cordialement,

Hey hey

[zWikiSkill 40]

Moi j'y crois pas à la source enfin bon... et puis j'aime pas.

Bonne chance pour la suite

[Mandrilux 18]

Jutilise paquet filter tout les jours .. je peux faire un firewall de A a z avec paquet filter .

Tu peux dire que cest pas de moi . Ok .tu a le droits mais cest quand meme de moi .

Je peux te fournir la preuve qu il est de moi au cas ou

- tu le trouvera sur aucun forum a par cela lui

-une amelioration arrive

 

Cest q une permiere version avec quelque manque de fonctionalité

[zWikiSkill 40]

Ok non mais sa me surprend un peu, mais comme tu l'as vu j'ai rien affirmer... Après je trouve que ses reprit sur les autres tutos de protections... et franchement j'en vois pas une grande utilité enfin bon je regarderais ton tutoriel quand tu l'auras fini =).

Aller courage.

[Mandrilux 18]

Cest pas mon firewall complet cest un firewall que javais fais pour un serveur et qui trainais sur mon disque dur . Je compte l ameliorer et le partager au fur et a mesure . Il a pour but de proteger les acces mysql et bloquer le reste

[Oscar 151]

Merci du partages. je te mais +1 peux de personne partages leurs création.

[Mandrilux 18]

Merci , ce firewall va etre ameliorer et mis a jours , cest qu une premier release que je partage

[herostar34 69]

J etais en train de regarder un peu, mais hmm tu as oublie de preciser qui faut creer un .txt

Apres je doute que ca soit performant, c est juste pour eviter un peu de flood, sans plus.

 

Merci quand meme.

[mandrilux² 5]

Tester , pour ma part sa marche

[koko 0]

Mouai,

Code du Firewall qui n'est absolument pas adapté pour les serveur Metin2.

Fait à l'arrache.

[Kameyu 170]

Pour certains ça peut ne pas marcher.

[Mandrilux 18]

d'ou le code est fais a l'arrache ,

il n'est surtout pas fini mais permet d'avoir une protection basique et de bloquer les entrée mysql a ceux qui ne sont pas whitelisté , cela evite une intrusion dan

s mysql et un deface des tables .

 

la meme chose va etre faite pour le port 22 que je recommande de changer d'aillieur car ssh a des soucis de resistance face au flood et permet de saturer le serveur avec pas grand chose

il ne s'agit pas d'un firewall anti ddos pour le moment

[Kameyu 170]

Merci de bien vouloir confirmer qu'il est fonctionnel, j'attends des avis, car ce que j'ai déjà comme avis est assez vague.

[mandrilux² 5]

pour moi c'est fonctionelle , cela bloque bien le port mysql en entrée si l'ip est pas autorisé

[Kameyu 170]

Ok alors je valide le... Tutortage. Je le laisse dans Tutoriels volontairement.

[Mandrilux 18]

firewall mis a jour et entièrement fonctionnel

[Thyrios 4]

De ce que je lis du code il est pas du tout optimisé...

Ça m'a piqué les yeux ^^'...

 

A titre informatif: J'utilise PF sur un FreeBSD 10.0 pour mon domicile avec gestion de la bande passante...

[Galet 461]

De ce que je lis du code il est pas du tout optimisé...

Ça m'a piqué les yeux ^^'...

 

A titre informatif: J'utilise PF sur un FreeBSD 10.0 pour mon domicile avec gestion de la bande passante...

 

Pourquoi ne pas partager dans ce cas ?

[Thyrios 4]

Effectivement je pourrais. Mais un firewall c'est très personel.

 

Si j'en partage un. Les gens vont se contenter de le prendre bêtement sans chercher plus loin...

 

Or il doit correspondre exactement à la machine en question.

 

Je sais que les serveur metin se ressemblent quasiment tous, mais il y a toujours une petite subtilitée.