OVH Community, votre nouvel espace communautaire.

Aide la configuration du firewall network


kalistyan
05/04/2016, 10h53
Citation Envoyé par Nowwhat
Bonjour,

Maintenant, là où ça risque TOUT LE TEMPS, ça sont ces portes que t'as ouvert : les 25,22,25,110, 443,21, 53 (le tout avec une mélange de TCP ou UDP) ..... mais POURQUOI tu les as ouvert ? La faille est quasiment tout le temps dans "le bug dans le service (serveur web, DNS, FTP, etc)" ou "utilisateur qui "paramètre mal son service (serveur web, DNS, FTP, etc)".

PS : t'as rien débloqué coté DNS ..... pour un serveur sur le net, ça me semble bien étrange.
Les ports ont été ouverts car le vps héberge différents services.
Difficile d'y accéder, si les ports sont fermés.

Quant au port 53, pourquoi le débloqué ? Je n'ai aucun service qui tourne...

Nowwhat
05/04/2016, 08h47
Bonjour,

Je n'ai pas des chiffres en tête, mais disons que une porte sur ton serveur qui n'est pas servie (par un service), comme par exemple la porte "27" (pour juste nommé une) ne risque RIEN. Bloquer l'accès avec un parafeu va effectivement ajouter un peu plus de RIEN .....

Maintenant, là où ça risque TOUT LE TEMPS, ça sont ces portes que t'as ouvert : les 25,22,25,110, 443,21, 53 (le tout avec une mélange de TCP ou UDP) ..... mais POURQUOI tu les as ouvert ? La faille est quasiment tout le temps dans "le bug dans le service (serveur web, DNS, FTP, etc)" ou "utilisateur qui "paramètre mal son service (serveur web, DNS, FTP, etc)".

Conseil : concentre-toi sur le paramétrage de tes services.
Laisse le parafeu dans l'état "par défaut". Ce que j'ai fait depuis des années. Regarde ce que fail2ban pourrait faire pour toi.
Puis, le jour quand que tu penses que t'as plus rien a apprendre, penche toi sur l'aspect 'firewall'. Ça va te prendre quelques secondes. Tu sauras a ce moment que ... t'as rien à faire ...


PS : t'as rien débloqué coté DNS ..... pour un serveur sur le net, ça me semble bien étrange.

PS : je sais, il existe ceux qui sont quand même motivé de mettre en place un parafeu car ils ont vécu la situation que leur PC "à la maison" grouille de l'activité hors de leur contrôle. Leur FAI envoi des menaces que "ce PC envoi des mails tout seul" - leur liste de contact est copié vers la Chine ‘et hop, tout le monde est spammé à mort) , leur photos copié vers l'Ukraine et tout leur documents crypté (très populaire en ce moment) ... je n'ai jamais compris pourquoi certains ont ces bestioles dans leur ordi - et d'autres, jamais.
Mais, une chose est sûre, faut mieux les enfermer dans le PC, car ils embêteront tout le monde. Un parafeu peut être utile dans ce cas.
Pour un serveur c'est bien plus valable encore .... (Mais bon, une fois que le mal est dans le serveur, ça ne sera pas loin avant que le parafeu tombe ....).

janus57
05/04/2016, 07h27
Bonjour,

http://www.inetdoc.net/guides/iptabl...nnections.html + http://www.tcpipguide.com/free/t_TCP...ayHandsh-3.htm

De manière très simplifié cette état signifie que les 2 partie (client et serveur) sont prêt à transférer des données.

Cordialement, janus57

kalistyan
05/04/2016, 00h47
Après quelques recherche, cela fonctionne.
Mais je souhaiterais une explication sur l'option established


kalistyan
04/04/2016, 20h30
Mauvais copier/coller!
Avec un tableau, c'est de suite plus clair.

janus57
04/04/2016, 19h16
Bonjour,

Ah ??

Priorité 0 Autoriser Protocole => TCP IP source => tous Port source => vide port destination => 80
Priorité 1 Autoriser Protocole => TCP IP source => tous Port source => vide port destination => 443
SSH
Priorité 2 Autoriser Protocole => TCP IP source => mon domicile Port source => vide port destination => 22
Priorité 3 Autoriser Protocole => TCP IP source => presta Port source => vide port destination => 22
Priorité 4 Autoriser Protocole => TCP IP source => client Port source => vide port destination => 22
SMTP
Priorité 5 Autoriser Protocole => TCP IP source => client Port source => vide port destination => 25
Problème les serveurs extérieur pour vous délivrer le mail le font sur la port 25, donc autoriser seulement vous ou un client sur le 25 c'est pas bon ou alors j'ai mal compris ce que vous avez écrit.

Cordialement, janus57

kalistyan
04/04/2016, 19h05
Bonsoir Janus87

Je souhaite tout simplement sécuriser/filtrer l'accès du VPS.
Pour info, les règles de 0 à 5 sont autorisées. Par conséquent, le serveur de mail est bien accessible.
Quant au FTP, le vps n'en héberge pas. Dans cette conf, c'est la connexion aux FTP extérieur qui ne fonctionne plus.

janus57
04/04/2016, 18h57
Bonjour,

vous cherchez à faire quoi exactement ?

Car je ne pense pas que filtrer le port 25 soit une bonne idée (à moins que vous ne souhaitez pas recevoir de mails ou que c’est un autre serveurs qui les reçoit).

Sinon FTP c'est port 20+21, donc pas d'autorisation donc bloqué (sauf si je comprend mal comment fonctionne le firewall d'ovh).

Cordialement, janus57

kalistyan
04/04/2016, 18h33
Bonsoir,

Sur l'un de mes vps, j'ai activé le firewall. Jusqu'à là pas de problème.

Un résumé des règles :



Le filtrage fonctionne, mais malheureusement cela bloque aussi l'accès aux FTP hébergé à l'extérieur.
Par conséquent, un simple apt-get update ne fonctionne plus.

Pour effectuer les régales, j'me suis basé sur l'aide suivante : https://docs.ovh.com/pages/releasevi...wallnetworkOVH

Auriez-vous une suggestion à me proposer ?

Merci