iptables, une approximation d'un cas réel

Le but de ce tutoriel est contrôler notre réseau, évitant les désagréments de la part de certains autres "invités indésirables" qui de l'intérieur veulent voir le sol (expression cubaine qui signifie déranger, baiser, etc.), virus "packer", attaques externes ou simplement pour le plaisir de savoir que nous peut dormir paisiblement.

Note: Souvenez-vous des politiques iptables, ACCEPTEZ tout ou REFUSEZ tout, elles peuvent être utiles, dans certains cas et pas dans d'autres, cela dépend de nous, que tout ce qui se passe sur le réseau, c'est notre affaire, et seulement la nôtre, oui, la vôtre, le mien, de celui qui a lu le tutoriel, mais ne sait pas comment l'exécuter, ou de celui qui l'a lu et appliqué trop bien.

Montez vous restez !!!

La première chose est de savoir, quel port occupe chaque service sur un ordinateur avec GNU / Linux installé, pour cela, vous n'avez pas à demander à personne, ni à vous impliquer dans la recherche Google ou à consulter un savant sur le sujet, il suffit de lire un fichier . Un petit dossier? Eh bien oui, un petit fichier.

/ etc / services

Mais que contient-il / etc / services?

Très facile, la description de tous services et ports existant pour ces services soit par TCP soit par UDP, de manière organisée et ascendante. Lesdits services et ports ont été déclarés par le IANA (Internet Assigned Numbers Authority).

Jouer avec iptables

Dans les premiers pas, nous aurons un PC, qui sera la machine de test, appelez-le comme vous voulez, Lucy, Karla ou Naomi, je l'appellerai Bessie.

situation:

Eh bien, Bessie est une machine de projet qui va avoir un VSFTPd monté, OpenSSH en cours d'exécution, et un Apache2 qui a été installé une fois pour l'analyse comparative (test de performance), mais n'est désormais utilisé qu'en conjonction avec phpMyAdmin pour administrer les bases de données de MySQL qui sont utilisés de temps en temps en interne.

Notes à prendre:

Ftp, ssh, apache2 et mysql, sont les services qui reçoivent des requêtes sur ce PC, nous devons donc prendre en compte les ports qu'ils utilisent.

Si je n'ai pas tort et / etc / services ne dit pas de mensonges xD, ftp utilise les ports 20 et 21, ssh par défaut 22 ou un autre, s'il a été défini dans la configuration (dans un autre article, je parlerai de la configuration SSH un peu plus que ce qui est normalement connu), Apache 80 ou 443 si c'est avec SSL et MySQL 3306.

Il nous faut maintenant un autre détail, les adresses IP des PC qui vont interagir avec Bessie, pour que nos pompiers, entre eux, ne marchent pas sur les tuyaux (signifie pas de conflit haha).

Pepe, le développeur en PHP + MySQL, n'aura accès qu'aux ports 20-21, 80, 443 et 3306, Frank que son truc est de mettre à jour la page web du projet à livrer d'ici un mois, il n'y aura accès au port 80/443 et 3306 au cas où vous auriez besoin de faire une correction dans la base de données, et j'aurai accès à toutes les ressources sur le serveur (et je veux protéger la connexion avec ssh par IP et MAC). Nous devons activer le ping au cas où nous voudrions interroger la machine à un moment donné. Notre réseau est de classe C de type 10.8.0.0/16.

Nous allons commencer un fichier texte brut appelé pare-feu.sh dans lequel il contiendra les éléments suivants:

Pâte n ° 4446 (Script iptables)

Et donc, avec ces lignes, vous autorisez l'accès aux membres de DevTeam, protégez-vous et protégez le PC, je pense mieux expliqué, même pas dans les rêves. Il ne reste plus qu'à lui donner les autorisations d'exécution, et tout sera prêt à fonctionner.

Il existe des outils qui, via une interface graphique agréable, permettent aux utilisateurs novices de configurer le pare-feu de leurs PC, comme "BadTuxWall", qui nécessite Java. Aussi le FwBuilder, QT, qui a déjà été discuté ici ou le "Firewall-Jay", avec une interface dans ncurses. À mon avis, j'aime le faire en texte clair, alors je me force à apprendre.

C'est tout, à bientôt pour continuer à expliquer, les peluches du contre-fluff, d'une autre configuration, processus ou service.