Jump to content
×
×
  • Create New...

Sécurité - Script Firewall


PaJa41
 Share

Recommended Posts

Niveau requis Intermédiaire

Temps estimé : 15 minutes

Bonsoir à tous !

 

Je vous propose donc un tutoriel pour sécuriser un peu votre serveur. C'est très simple, je vais tout vous expliquer.

 

Partie 1

 

Révélation

 

Premièrement vous devez activer le pf sur votre machine, pour cela, direction le rc.conf (dans /etc) par commande ça donne :

ee /etc/rc.conf

 Vous y ajouterait donc ceci :

pf_enable="YES"
pf_rules="/etc/pf.conf"

Voilà !

 

 

Partie 2

 

Révélation

 

Le pf.conf sera le fichier contenant les règles. Je ne connais pas la commande pour activer le pf sans reboot, alors ici vous devez rebooter afin de l'activer, si quelqu'un sait comment l'activer sans rebooter faites m'en part j'éditerais mon sujet :P Voila, après le reboot logiquement le pf est activé.

 

Maintenant nous allons procédez au règle, tout d’abord on créé le pf.conf avec une commande :

ee /etc/pf.conf

On y ajoute les règles :

#Macros
host_ip  = "{ xxx.xxx.xxx.xxx  }" # Ip public de votre serveur
ext_if = "xxx"                    # nom external interface obtenue grace à la commande ifconfig
lpb_if = "lo0"                    # loopback interface 127.0.0.1 / ::1
rtm_ip       = "{ 91.121.77.251 }" # exemple d'ip pour ceux ayant un serveur OVH

#Options
set skip on $lpb_if                # Ne pas surveiller loopback

#Tables
table  persist file "/etc/spammer"  # Fichier des IP bannies
table  persist            # Table dynamique des attaques http

#Traffic Normalization
scrub in                        # Recomposition des paquets entrants

#Packet Filtering
pass in all
block in quick from { ,  }    # Blocage entrant des IP enregistrees
pass out quick on $ext_if inet from ($ext_if) to any    # Passer tout ce que le serveur genere !!!

# Si plus de 100 ou plus de 10 connexions (entrantes) par seconde (50/5), placer l'IP concernee dans la table web_abuse
pass in on $extOif pzo4o tcp from any to $ext_if port http keep state \
   (max-src-conn 100, max-src-conn-rate 50/5, overload  flush)

pass in all
# Permettre tout ICMP : j'ai envie de pinguer mon serveur, et de toute
# façon c'est nécessaire pour ip6.
pass proto { icmp icmp6 }

# Logiciel RTM d'OVH
pass out proto udp         from $host_ip  to $rtm_ip     port 6100:6199
Puis on recharge les règles à l'aide de :
pfctl -f "/etc/pf.conf"

A la suite de ça vous serez un peu plus sécurisé et je tiens a préciser que ce sont des règles dynamiques et qu'il n'y a donc pas besoin de crontab.

 

 

Cordialement,

Hey hey

  • J'adore 1
Link to comment
Share on other sites

  • Replies 9
  • Created
  • Last Reply

Top Posters In This Topic

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share



Important Information

Terms of Use / Privacy Policy / Guidelines / We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.