25 astuces pour IPtable pour sécuriser son serveur.

(via http://shaarli.callmematthi.eu/?Nns1mg )

Merci pour ta réponse et ton idée. On m'avait parlé du VPN au boulot mais je n'avais pas compris que le tunnel avait sa propre IP et je n'avais du coup pas bien compris comment rediriger vers la machine cliente à partir du serveur.

Je suis en train d'installer et configurer le serveur VPN en partant du tutoriel de Nico Largo ( http://blog.nicolargo.com/2010/10/installation-dun-serveur-openvpn-sous-debianubuntu.html ). Quand j'aurai fini, je ferai un article sur mon blog pour résumer la manœuvre. :-)

J'ai installé Syncthing sur un serveur pour faire des backups automatisés. Ça ne fonctionnait pas -encore- parce qu'il faut ouvrir deux ports :

la doc :

Local Firewall
If your PC has a local firewall, you will need to open the following ports for incoming traffic:
Port 22000/TCP (or the actual listening port if you have changed the Sync Protocol Listen Address setting.)
Port 21025/UDP (for discovery broadcasts)

J'ai rajouté ces lignes dans mon fichier "/etc/init.d/firewall" :

# Syncthing ( source: http://docs.syncthing.net/users/firewall.html )
iptables -t filter -A OUTPUT -p tcp --dport 22000 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 21025 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 21025 -j ACCEPT

Utilisation d'iptables et de l'argument TARPIT pour contrer les attaques DDOS. Très intéressant !

J'ai depuis peu un serveur virtuel chez OVH et j'ai configuré le firewall iptables en partie grâce à ce tutoriel : http://fr.openclassrooms.com/informatique/cours/securiser-son-serveur-linux
Étonnement, il ne parle pas d'HTTPS et du port 443 à ouvrir au besoin.

Quand j'ai voulu installer Pelican via PIP (voir http://www.simonlefort.be/links/?TcVjJw ), j'ai eu l'erreur suivante :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Cannot fetch index base URL http://pypi.python.org/simple/
| Could not find any downloads that satisfy the requirement pelican
| No distributions at all found for pelican
| Storing complete log in /root/.pip/pip.log
| ========

J'ai donc rajouté les lignes suivantes dans le script de configuration d'iptables :
| ========
| simon@ordi:~$ sudo nano /etc/init.d/firewall
| iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
| iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
| ========

J'ai ensuite relancé le script :
| ========
| simon@ordi:~$ sudo /etc/init.d/firewall
| ========

J'ai enfin pu installer Pelican :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Real name of requirement pelican is pelican
| Downloading pelican-3.4.0.tar.gz (259Kb): 259Kb downloaded
| Running setup.py egg_info for package pelican
| (...)
| ========

J'ai aussi installé markdown :
| ========
| simon@vps89550:~$ sudo pip install markdown
| Downloading/unpacking markdown
| Real name of requirement markdown is Markdown
| Downloading Markdown-2.4.1.tar.gz (279Kb): 279Kb downloaded
| Running setup.py egg_info for package markdown
| (...)
| ========

Quelques bases pour sécuriser son serveur GNU/Linux. Il y a pas mal de subtilités à comprendre encore mais fermer tous les ports inutilisés, installer quelques outils pour se protéger (fail2ban, portsentry..) et vérifier la configuration des programmes sur le serveur (ssh, apache, ..), c'est déjà une bonne base.