Setup debian ovh – Firewall
Aujourd’hui 2 petits post qui vont venir completer mon premier post sur mon installation debian chez ovh. Le premier tout de suite avec la configuration d’un firewall simple pour notre machine.
On verifie si iptables est installé sur la machine (normalement oui)
iptables -v
iptables v1.3.6: no command specified
Try `iptables -h' or 'iptables --help' for more information.
si on obtiens un resultat comme celui la c’est ok et on verifie si il existe déjà des règles:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
aucun règle actuellement: notre firewall accepte donc tout le traffic.
créons nos regles dans le fichier /etc/init.d/firewall
vi /etc/init.d/firewall
#!/bin/sh
# les regles de mon firewall
IPT=/sbin/iptables
case "$1" in
start)
$IPT -F INPUT
$IPT -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ftp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ssh -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port smtp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port pop3 -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto udp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port http -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port https -j ACCEPT
$IPT -A INPUT -i eth0 --proto icmp -j ACCEPT
$IPT -A INPUT -i eth0 -j DROP
exit 0
;;
stop)
$IPT -F INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac
Pour faire simple on accepte toutes les connection déjà établies et on authorise les connections à nos services: FTP, SSH, SMTP, POP3, DNS et HTTP.
On rajoute les droits d’éxecution au fichier et on démarre notre firewall
chmod +x /etc/init.d/firewall
/etc/init.d/firewall start
Il ne nous reste plus qu’à installer ce script au boot pour que notre firewall se relance automatiquement. Attention ne faire cette manipulation que si vous êtes sur d’avoir access à votre machine par ssh !
update-rc.d firewall defaults
Et voila ! Simple non ? prochain post: monitoring de notre machine avec munin et monit
December 14th, 2007 at 17:22
[...] d’installation d’une machine debian chez ovh. Nous venons juste de voir comment installer et configurer un firewall pour protéger notre machine, Voyons maintenant comment utiliser munin et monit pour surveiller [...]