Iptables securité

Freezer78 Messages postés 3 Statut Membre -  
jeannets Messages postés 28379 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour, pouvez-vous m'expliquer comment faire avec iptables pour :

Bloquer toute connection ( ssh, ftp, sftp ) sur mon vps et autoriser seulement l'ip local du vps + l'ip d'un autre serveur

Et autorisé l'acces a mon site web pour toute les ip's ( site web apache2 )

1 réponse

  1. jeannets Messages postés 28379 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 6 600
     
    Bonjour,

    Pour les SSH, FTP, SFTP, ce n'est pas une question d'IP, mais de protocole. C'est dans le serveur que ça se passe, tu ne doit pas autoriser les SSH FTP SFTP

    et pour les IP, tu dois avoir une liste blanche et une liste noir ... tu mets en liste blanche l'IP locale du VPS et ++
    et en liste noir tous les autres... il faut connaitre les menus de ton serveurs...

    Pour les site web, tu autorise tous les HTTP et en IP tu met * ça englobe toutes les IP

    voila, ce n'est pas parfait, mais c'est une belle approche..
    0
    1. Freezer78 Messages postés 3 Statut Membre
       
      J'ai réussi a bloquer les connections a mon serveur, et a autorisé seulement 2 ip's, mais ensuite j'ai bon ouvrir les ports 80 et 443 mon serveur web reste toujour inaccessible

      sudo iptables -A INPUT -i lo -j ACCEPT
      sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT
      sudo iptables -A INPUT -s IPMONVPS -j ACCEPT
      sudo iptables -A INPUT -j DROP

      sudo iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
      sudo iptables -A OUTPUT -d IPMONVPS -j ACCEPT
      sudo iptables -A OUTPUT -j DROP
      sudo iptables -A FORWARD -j DROP

      Donc jusqu'a la sa fonctionne seul mon vps peut se connecter a mon autre vps,

      et le serveur web ici est encore inaccessible alors que je voudrais qu'il soit accessible par tous le monde

      iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
      iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
      0
    2. jeannets Messages postés 28379 Date d'inscription   Statut Contributeur Dernière intervention   6 600
       
      Tu dis inaccessible... depuis ou..? depuis ton réseau local ou depuis l'extérieur.?

      je pense qu'il faut déclarer le port 80 et le 443 dans les tables NAT de ta BOX/routeur. essaie ça si ce n'est pas déja fait.
      0