lang fr|gb

pare-feu simplifié

GNU/Linux est un système sécurisé qui fonctionne sans anti-virus ... certes, mais un peu de sécurité ne fait pas de mal, surtout si vous avez installé un serveur SSH, un serveur LAMP ou Mail.
pour cela, livarp utilise iptables qui va définir l'état des ports selon le type de communications.
vous n'avez rien à faire pour activer ce pare-feu, le script iptables concerné se trouve dans votre dossier /etc/init.d/ qui rassemble les scripts lancés au démarrage de votre machine.

configuration

pour ajouter ou enlever des règles de sécurité, il faut éditer le fichier /etc/firewall.rules. c'est ce fichier qui est appellé par /etc/init.d/firewall.sh. voici le fichier par défaut: 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"
-A INPUT -f -j DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j LOG --log-prefix "[#1 : SSH brute-force ] : "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource
-A INPUT -p tcp --dport 22 -j ACCEPT
COMMIT

ce fichier interdit toute communication entrante non-initiée par l'utilisateur ou le système,
log les communication invalides
log les tentatives de passage en force sur le protocole ssh
selon votre utilisation, vous pouvez effacer certaines règles (celles du port 80 si vous n'avez pas de serveur web par exemple). ou en rajouter:

  • support du ping :
    -A INPUT -p tcp -p icmp -j ACCEPT
  • support ftp : lancer connntrack pour le ftp passif (à placer dans le script /etc/init.d/firewall.sh):
    modprobe ip_conntrack_ftp ip_conntrack ip_nat_ftp
    puis ajouter dans votre firewall.rules :
    -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  • support smtp/smtps :
    -A INPUT -p tcp --dports smtp,smtps,submission -j ACCEPT
une fois vos modifications effectuées, relancer le service firewal avec la commande:
# /etc/init.d/firewall.sh restart

centre d'aide livarp_0.4 - arpinux@2013 - sources