Gestion d’iptables par l’intermédiaire de CSF (ligne de commande Linux)

Niveau d’expertise : Moyen

iptables est le coupe-feu standard de Linux. Il est extrêmement puissant et offre de grandes possibilités de personnalisation, mais cela fait en sorte qu’il peut également être extrêmement complexe à gérer. Pour cette raison, iWeb recommande d’utiliser ConfigServer Security & Firewall (CSF) pour gérer la configuration de votre iptables. CSF est une interface simplifiée qui facilite l’ajout et le retrait d’adresses IP de votre coupe-feu.

Le présent article traite de la gestion de CSF et d’iptables à partir de la ligne de commande. Si vous exécutez WHM et cPanel, veuillez consulter l’article de la base de connaissance traitant du sujet. Veuillez consulter l’article de la base de connaissance portant sur iptables si vous souhaitez gérer directement ce logiciel.

Pour gérer CSF, commencez par vous connecter à votre serveur à l’aide de SSH, puis passez à l’utilisateur racine.

Activer ou désactiver SSH

Vous pouvez activer ou désactiver CSF en toute sécurité sans perdre la configuration de votre coupe-feu.

Pour désactiver CSF :

csf -x

Pour activer CSF :

csf -e

Gestion des ports

CSF peut ouvrir ou fermer des ports pour toutes les adresses IP. Cela est utile lorsque vous avez modifié les numéros de port standards dans la configuration de votre port.

Vous n’avez qu’à modifier le fichier suivant à l’aide d’un éditeur :

/etc/csf/csf.conf

Trouvez les lignes suivantes et ajoutez les numéros de port que vous souhaitez ouvrir :

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,26"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873"

Pour bloquer des ports, il suffit de retirer leurs numéros de la liste.

Redémarrez CSF à l’aide de la commande suivante afin de vous assurer que les modifications entrent en vigueur :

csf -r

Il est également possible de bloquer les adresses de pays entiers. Toutefois, soyez averti que certaines plages d’adresses IP sont désuètes; le cas échéant, vous pourriez perdre le trafic de visiteurs légitimes. De plus, étant donné le grand nombre d’adresses IP existantes, le fait de créer ces règles peut entraîner des temps de réamorçage extrêmement longs pour le serveur.

Si vous souhaitez tout de même ajouter les adresses IP de pays entiers à votre configuration CSF, ouvrez le fichier suivant :

/etc/csf/csf.conf

Recherchez la section intitulée « CC_Allow or CC_Deny » et entrez l’un des codes de pays suivants :

AF,AL,DZ,AS,AD,AO,AI,AQ,AG,AR,AM,AW,AU,AT,AZ,BS,BH,BD,BB,BY,BE,BZ,BJ,BM,BT,BO,BA,BW,BV,BR,IO,BN,BG,BF,BI,KH,CM,CA,CV,KY,CF,TD,CL,CN,CX,CC,CO,KM,CG,CD,CK,CR,CI,HR,CU,CY,CZ,DK,DJ,DM,DO,TP,EC,EG,SV,GQ,ER,EE,ET,FK,FO,FJ,FI,FR,FX,GF,PF,TF,GA,GM,GE,DE,GH,GI,GR,GL,GD,GP,GU,GT,GN,GW,GY,HT,HM,VA,HN,HK,HU,IS,IN,ID,IR,IQ,IE,IL,IT,JM,JP,JO,KZ,KE,KI,KP,KR,KW,KG,LA,LV,LB,LS,LR,LY,LI,LT,LU,MO,MK,MG,MW,MY,MV,ML,MT,MH,MQ,MR,MU,YT,MX,FM,MD,MC,MN,MS,MA,MZ,MM,NA,NR,NP,NL,AN,NC,NZ,NI,NE,NG,NU,NF,MP,NO,OM,PK,PW,PA,PG,PY,PE,PH,PN,PL,PT,PR,QA,RE,RO,RU,RW,KN,LC,VC,WS,SM,ST,SA,SN,SC,SL,SG,SK,SI,SB,SO,ZA,GS,ES,LK,SH,PM,SD,SR,SJ,SZ,SE,CH,SY,TW,TJ,TZ,TH,TG,TK,TO,TT,TN,TR,TM,TC,TV,UG,UA,AE,GB,US,UM,UY,UZ,VU,VE,VN,VG,VI,WF,EH,YE,ZM,ZW

Pour obtenir de plus amples renseignements, veuillez consulter la documentation officielle : http://www.configserver.com/techfaq/index.php

Gestion des adresses IP

Pour accepter des adresses IP données ou créer une liste blanche les regroupant, utilisez la commande suivante :

csf -a 123.123.123.123

Remplacez les numéros par les adresses IP que vous souhaitez autoriser. Celles-ci seront ajoutées à une liste des adresses IP autorisées à accéder à votre serveur. Cette liste est contenue dans /etc/csf.conf et peut être modifiée manuellement.

Vous pouvez également retirer une adresse IP de cette liste à l’aide de la commande :

csf -ar 123.123.123.123

Dans le cas d’une attaque, vous pouvez également bloquer certaines adresses IP. Utilisez la commande suivante :

csf -d 123.123.123.123

Cette adresse IP sera ajoutée à la liste des adresses IP bloquées par iptables. Elle se trouve dans at /etc/csf.deny.

Vous pouvez également retirer une adresse IP en utilisant la commande suivante :

csf -dr 123.123.123.123

N’oubliez pas de redémarrer CSF lorsque vos modifications sont terminées :

csf -r

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk