Installer des règles iptables

A lire avant de poursuivre : Structure & agencement.

Prérequis : Installer Source Dedicated Server

IPtables (associé à Netfilter) est un des meilleurs firewalls pour Linux, et certainement le plus répandu. Vous pourrez trouver de nombreux scripts de configuration à son sujet.
Son utilisation nécessite l'utilisation du compte ROOT. L'utilisation du programme est refusée aux autres utilisateurs.

La manipulation consiste à créer des règles iptables.

Nous allons ajouter des règles iptables à iptables. Bien sur il faut auparavant mettre en place des règles de base (ICMP, SSH, DNS, HTTP, FTP, Mail, ect...).

Voici la liste des régle iptables :

Protection contre le broadcast echo

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Active la protection TCP SYN Cookie

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Active la protection sur les mauvais messages d'erreur 

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Protection contre les IP Spoofing : ip non-routables

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done

Protection ICMP redirect 

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv6/conf/all/accept_redirects

Desactivation Source Routed

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv6/conf/all/accept_source_route

Surveillance de la taille de la fenetre TCP

echo 1 > /proc/sys/net/ipv4/tcp_window_scaling

Lutte contre le denis de service (DoS)

echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time

Change default TTL value

echo 64 > /proc/sys/net/ipv4/ip_default_ttl

Limiter le Syn-Flood

/sbin/iptables -N SYN_FLOOD
/sbin/iptables -A SYN_FLOOD -p tcp --syn -m limit --limit 5/second --limit-burst 10 -j RETURN
/sbin/iptables -A SYN_FLOOD -p ! tcp -j RETURN
/sbin/iptables -A SYN_FLOOD -p tcp ! --syn -j RETURN
/sbin/iptables -A SYN_FLOOD -j LOG --log-prefix "IPT SYN_FLOOD: " --log-level=3 -m limit --limit 3/minute --limit-burst 3
/sbin/iptables -A SYN_FLOOD -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT

Bloquer le Spoofing

/sbin/iptables -N SPOOFED
/sbin/iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
/sbin/iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
/sbin/iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
/sbin/iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
/sbin/iptables -A SPOOFED -s 10.0.0.0/8 -j DROP

Serveurs de Jeux CSS

iptables -A INPUT -p udp --dport 27000:27050 -j ACCEPT
iptables -A OUTPUT -p udp --dport 27000:27050 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000:27050 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 27000:27050 -j ACCEPT
iptables -A INPUT -p udp --dport 4379:4380 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4379:4380 -j ACCEPT
iptables -A INPUT -p udp --dport 3478 -j ACCEPT
iptables -A OUTPUT -p udp --dport 3478 -j ACCEPT
iptables -A INPUT -p udp --dport 1200 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1200 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Voila, amusez-vous bien, et n'hésitez pas à poser vos questions.

Propulsé par Drupal