Pour plus de souplesse, nous allons écrire nos règles sous forme de script bash. Petite mesure de prudence si vous êtes loggué sur votre machine à distance (ssh), soyez bien sûr de ne pas vous bloquer l’accès.
Créons le script.
nano /etc/init.d/firewall
Et on y écrit.
#!/bin/sh
On efface les règles précédentes pour partir sur de bonnes bases.
iptables -t filter -F
On bloque par défaut tout le trafic (si vous êtes en ssh, bien entendu, n’exécutez pas encore le script !).
iptables -t filter -P INPUT DROP
On ne ferme pas les connexions déjà établies.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Nous indiquons avec les paramètres -m et --state de ne pas fermer les connexions qui sont déjà établies.
On autorise le loopback (on ne va pas se bloquer nous-mêmes !).
iptables -t filter -A INPUT -i lo -j ACCEPT
Note : lo signifie localhost (le serveur lui-même).
Tout est bloqué, il ne nous reste plus qu’à ouvrir les ports utilisés.
Ouvrir les ports utilisés
À partir de maintenant, observons plus en détail les paramètres de iptables.
-t : vaudra par défaut « filter » -A : servira à indiquer le sens du trafic : INPUT (entrant) ou OUTPUT (sortant) -p : indique le protocole (TCP ou UDP en principe) --dport et --sport : respectivement port destination et port source (comme nous sommes le serveur, nous utiliserons principalement dport) -j : comment traiter le paquet (nous nous servirons d'ACCEPT et de DROP pour respectivement accepter et refuser le paquet).
Plus nous serons précis, plus nous serons sécurisés. Renseigner ces quelques options est donc le minimum.
Ainsi, une règle simple aura la forme suivante.
iptables -t filter -A INPUT/OUTPUT -p protocole --dport port_a_ouvrir -j ACCEPT
Notez enfin que si vous voulez un échange, il faut toujours ouvrir le port dans les deux sens (INPUT et OUTPUT)... logique.
Exemple si l’on a un serveur web (port 80).
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
Il ne vous reste qu’à spécifier toutes les règles nécessaires. Voici un petit tableau pour vous aider (il s’agit de données par défaut).
service port d’écoute protocole ssh
22
tcp
web/HTTP
80
tcp
FTP
20 et 21
tcp
mail/SMTP
25
tcp
mail/POP3
110
tcp
mail/IMAP
143
tcp
DNS
53
tcp et udp
Cas particulier du ping
Le ping est basé sur un protocole particulier (ICMP) qui n’a pas de port prédéfini. Mais il faut absolument autoriser le ping car c’est la méthode la plus couramment utilisée pour savoir si votre serveur est en vie. Voici donc les règles.
iptables -t filter -A INPUT -p icmp -j ACCEPT
Outre que c’est l’outil de base de tout système de sécurité, Iptables permet des manipulations plus poussées que filtrer des ports. Je vais vous montrer quelques exemples.
Ce genre d’attaque vise à surcharger la machine de requête. Il est possible de s’en prémunir pas mal directement au niveau du firewall.
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
Le flags TCP --syn engendre des demandes de connexions, et le but de cette règle est donc de les limiter à une par seconde (champs limit).
Il est cependant déconseillé de monter au-delà de la seconde (sous peine de gêner le contrôle de flux et la récupération d’erreur de TCP).
On peut faire de même avec les protocoles UDP et ICMP.
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
Notez cependant que ce type d’attaque permet de faire tomber le serveur, mais pas d’en prendre l’accès.
On peut aussi limiter un tant soit peu le scan de ports (qui consiste à tester tous vos ports afin de détecter ceux qui sont ouverts). Pour cela, une règle de ce genre irait.
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
C’est un peu le même principe que ci-dessus. Sachant qu’une connexion TCP en bon et due forme requiert trois paquets avec trois flags différents, on voit tout de suite la finesse de cette règle qui peut travailler paquet par paquet. Pour plus d’infos sur les flags TCP, cf Wikipédia.
Notez que cette règle basique n’est pas très efficace, c’est une protection de base.
Si vous repérez dans les logs ou autre une adresse IP suspecte, vous pouvez la bannir aisément au niveau du firewall via la commande :
iptables -A INPUT -s adresse_ip -j DROP
Notez cependant qu’il n’est pas conseillé de bannir les IP à tour de bras.
Ci-dessous, je vous montre un exemple de script basique autorisant le minimum pour un serveur HTTP, FTP, SSH, MAIL et résolution de DNS. Je vous encourage à lire des docs et des tutos plus complets si vous voulez aller plus loin dans le paramétrage de votre firewall.
Créer un nouveau fichier nommé /etc/init.d/firewall .
nano /etc/init.d/firewall
Et ajouter le script ci-dessous dedans.
#!/bin/sh
Rendez le script exécutable.
chmod +x /etc/init.d/firewall
Puis executez le avec la commande suivante.
/etc/init.d/firewall start
Pour finir nous allons créer un service pour executer le script firewall au démarrage du système.
Créer un nouveau fichier nommé /etc/systemd/system/firewall.service .
nano /etc/systemd/system/firewall.service
Et ajouter le script ci-dessous dedans.
[Unit]
Notifier systemd qu'un nouveau fichier firewall.service existe en exécutant la commande suivante.
systemctl daemon-reload
Pour que le service soit lancé au démarrage du système.
systemctl enable firewall.service
Et pour démarrer le service.
systemctl start firewall.service
