Iptables securité
Freezer78
Messages postés
3
Statut
Membre
-
jeannets Messages postés 28379 Date d'inscription Statut Contributeur Dernière intervention -
jeannets Messages postés 28379 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour, pouvez-vous m'expliquer comment faire avec iptables pour :
Bloquer toute connection ( ssh, ftp, sftp ) sur mon vps et autoriser seulement l'ip local du vps + l'ip d'un autre serveur
Et autorisé l'acces a mon site web pour toute les ip's ( site web apache2 )
Bloquer toute connection ( ssh, ftp, sftp ) sur mon vps et autoriser seulement l'ip local du vps + l'ip d'un autre serveur
Et autorisé l'acces a mon site web pour toute les ip's ( site web apache2 )
1 réponse
-
jeannets Messages postés 28379 Date d'inscription Statut Contributeur Dernière intervention Ambassadeur 6 600
Bonjour,
Pour les SSH, FTP, SFTP, ce n'est pas une question d'IP, mais de protocole. C'est dans le serveur que ça se passe, tu ne doit pas autoriser les SSH FTP SFTP
et pour les IP, tu dois avoir une liste blanche et une liste noir ... tu mets en liste blanche l'IP locale du VPS et ++
et en liste noir tous les autres... il faut connaitre les menus de ton serveurs...
Pour les site web, tu autorise tous les HTTP et en IP tu met * ça englobe toutes les IP
voila, ce n'est pas parfait, mais c'est une belle approche..-
J'ai réussi a bloquer les connections a mon serveur, et a autorisé seulement 2 ip's, mais ensuite j'ai bon ouvrir les ports 80 et 443 mon serveur web reste toujour inaccessible
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo iptables -A INPUT -s IPMONVPS -j ACCEPT
sudo iptables -A INPUT -j DROP
sudo iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
sudo iptables -A OUTPUT -d IPMONVPS -j ACCEPT
sudo iptables -A OUTPUT -j DROP
sudo iptables -A FORWARD -j DROP
Donc jusqu'a la sa fonctionne seul mon vps peut se connecter a mon autre vps,
et le serveur web ici est encore inaccessible alors que je voudrais qu'il soit accessible par tous le monde
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT -
Tu dis inaccessible... depuis ou..? depuis ton réseau local ou depuis l'extérieur.?
je pense qu'il faut déclarer le port 80 et le 443 dans les tables NAT de ta BOX/routeur. essaie ça si ce n'est pas déja fait.
-
