Aller au contenu

Sécurité - Script Firewall


Mandrilux

Messages recommandés

Niveau requis Intermédiaire

Temps estimé : 3 minutes

 

Bonjour à tous,

 

Suite à de nombreux serveur qui se font attaquer, je partage un firewall (paquet filter) sous unix que j'ai realisé, c'est une petite partie d'une protection complète mais permet pas mal de chose. Le code est a placer dans /etc/pf.conf.

 

Révélation

 

On active les paquet filter ainsi que ces logs, dans /etc/rc.conf écrivez ceci :

# Packet Filter                    
pf_enable="YES"
pf_rules="/etc/pf.conf" # Fichier de règles à charger
pflog_enable="YES"
 

PF.CONF

### Définition de la carte réseau ###
## on remplace em0 par votre interface reseau (ifconfig pour l'avoir) ##
ext_if="em0" 

## mettez ici l'adresse ip de votre serveur privé ##
jeu="46.x.x.x" 

set limit states 5000000
set limit src-nodes 19000000
#set optimization aggressive
#set timeout tcp.established 86400
#set timeout tcp.finwait 30
#set block-policy return

## on autorise le loockback
set skip on lo


### Blocage totale des inconnus sur mysql ###
block log on $ext_if proto tcp to ($ext_if) port 3306

### Accès accorder ###
table  persist file "/blacklist"
table  { 88.167.186.221, 80.10.159.228 , 178.32.27.45 , 90.84.146.248 , 109.213.206.74 , 127.0.0.1 , 46.x.x.x ,  37.59.64.133 , xx.xx.xx.xx ,xxxx.x.x.x }

pass log quick inet from  to $ext_if label "RULE 1 -- ACCEPT "


### Limitation des attaques et blocage des indésirables ###
table  persist file "/blacklist"
block log quick from  to any
block log quick from any to 
pass in on $ext_if proto tcp to $jeu port 11002 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13000 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13001 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)
pass in on $ext_if proto tcp to $jeu port 13002 flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload  flush)

pass in quick on $ext_if proto tcp from IPDUSITEWEB
pass in quick on $ext_if proto tcp from 127.0.0.1
pass in quick on lo proto tcp from 127.0.0.1
pass in quick on $ext_if proto tcp from IPDUDEDIE
Redémarrer votre serveur dédié et ensuite recharger la configuration de paquet filter :
pfctl -f /etc/pf.conf

 

 

Cordialement,

Hey hey

  • J'adore 1
Lien vers le commentaire
  • Réponses 18
  • Created
  • Dernière réponse

Jutilise paquet filter tout les jours .. je peux faire un firewall de A a z avec paquet filter .

Tu peux dire que cest pas de moi . Ok .tu a le droits mais cest quand meme de moi .

Je peux te fournir la preuve qu il est de moi au cas ou ;)

- tu le trouvera sur aucun forum a par cela lui

-une amelioration arrive

 

Cest q une permiere version avec quelque manque de fonctionalité

Lien vers le commentaire

d'ou le code est fais a l'arrache ,

il n'est surtout pas fini mais permet d'avoir une protection basique et de bloquer les entrée mysql a ceux qui ne sont pas whitelisté , cela evite une intrusion dan

s mysql et un deface des tables .

 

la meme chose va etre faite pour le port 22 que je recommande de changer d'aillieur car ssh a des soucis de resistance face au flood et permet de saturer le serveur avec pas grand chose

il ne s'agit pas d'un firewall anti ddos pour le moment

Lien vers le commentaire
  • 1 month later...
  • 9 months later...

De ce que je lis du code il est pas du tout optimisé...

Ça m'a piqué les yeux ^^'...

 

A titre informatif: J'utilise PF sur un FreeBSD 10.0 pour mon domicile avec gestion de la bande passante...

4 ans d'expériences en SS2I
Master 1 Administrateur Systèmes & Réseaux
Ex-Administrateur de Lumnia-Online

Lien vers le commentaire

Effectivement je pourrais. Mais un firewall c'est très personel.

 

Si j'en partage un. Les gens vont se contenter de le prendre bêtement sans chercher plus loin...

 

Or il doit correspondre exactement à la machine en question.

 

Je sais que les serveur metin se ressemblent quasiment tous, mais il y a toujours une petite subtilitée.

4 ans d'expériences en SS2I
Master 1 Administrateur Systèmes & Réseaux
Ex-Administrateur de Lumnia-Online

Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant


×
×
  • Créer...

Information importante

Conditions d’utilisation / Politique de confidentialité / Règles / Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.