Je sais pas vous, mais moi ça m’énerve tous ces scans SSH, FTP et co que je reçois tous les jours, alors j’ai enfin decidé de reagir. Heureusement que j’ai à ma disposition un compagnon de choc qui s’appelle iptables.
Alors j’ai défini quelques règles pour protéger notre serveur dédié ; il se contente de filtrer quelques ports en provenance de quelques blocs d’IP à risque.
[code]#!/bin/sh
/etc/network/if-pre-up.d/iptables-start.sh
Remise a zero des regles de filtrage
iptables -F
iptables -X
DEBUT regles firewall
DEBUT politiques par defaut
Connexions entrantes acceptees
iptables -P INPUT ACCEPT
Connexions forwardees acceptees
iptables -P FORWARD ACCEPT
Connexions sortantes acceptees
iptables -P OUTPUT ACCEPT
FIN politiques par defaut
L’Asie me fait chier, je bloque FTP, SSH…
iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 210.0.0.0/7 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 218.0.0.0/6 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 222.0.0.0/8 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 210.0.0.0/7 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 218.0.0.0/6 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 222.0.0.0/8 --dport 22 -j DROP[/code]
Notez que si vous chargez le module « multiport » il vous sera possible d’écrire des lignes plus jolies, du type :
iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 21,22,25 -j DROP
Ce qui est fort plus agréable à lire.
Pour ma box chez moi, je me suis contenté de faire :
# L'Asie me fait chier, je bloque tout
iptables -A INPUT -p tcp --source 200.0.0.0/6 -j DROP
iptables -A INPUT -p tcp --source 210.0.0.0/7 -j DROP
iptables -A INPUT -p tcp --source 218.0.0.0/6 -j DROP
iptables -A INPUT -p tcp --source 222.0.0.0/8 -j DROP
C’est un peu radical, mais c’est parce que je le vaux bien.
Aller, have fun, et vive iptables !
édit : Après étude de ce document j’ai rajouté d’autres blocs qui n’ont à priori rien à faire de venir se connecter chez moi en SSH.