Niveau d’expertise : Moyen
iptables est le coupe-feu standard de Linux. Il est extrêmement puissant et offre de grandes possibilités de personnalisation, mais cela fait en sorte qu’il peut également être extrêmement complexe à gérer. Pour cette raison, iWeb recommande d’utiliser ConfigServer Security & Firewall (CSF) pour gérer la configuration de votre iptables. CSF est une interface simplifiée qui facilite l’ajout et le retrait d’adresses IP de votre coupe-feu.
Le présent article traite de la gestion de CSF et d’iptables à partir de la ligne de commande. Si vous exécutez WHM et cPanel, veuillez consulter l’article de la base de connaissance traitant du sujet. Veuillez consulter l’article de la base de connaissance portant sur iptables si vous souhaitez gérer directement ce logiciel.
Pour gérer CSF, commencez par vous connecter à votre serveur à l’aide de SSH, puis passez à l’utilisateur racine.
Activer ou désactiver SSH
Vous pouvez activer ou désactiver CSF en toute sécurité sans perdre la configuration de votre coupe-feu.
Pour désactiver CSF :
csf -x
Pour activer CSF :
csf -e
Gestion des ports
CSF peut ouvrir ou fermer des ports pour toutes les adresses IP. Cela est utile lorsque vous avez modifié les numéros de port standards dans la configuration de votre port.
Vous n’avez qu’à modifier le fichier suivant à l’aide d’un éditeur :
/etc/csf/csf.conf
Trouvez les lignes suivantes et ajoutez les numéros de port que vous souhaitez ouvrir :
# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,26"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873"
Pour bloquer des ports, il suffit de retirer leurs numéros de la liste.
Redémarrez CSF à l’aide de la commande suivante afin de vous assurer que les modifications entrent en vigueur :
csf -r
Il est également possible de bloquer les adresses de pays entiers. Toutefois, soyez averti que certaines plages d’adresses IP sont désuètes; le cas échéant, vous pourriez perdre le trafic de visiteurs légitimes. De plus, étant donné le grand nombre d’adresses IP existantes, le fait de créer ces règles peut entraîner des temps de réamorçage extrêmement longs pour le serveur.
Si vous souhaitez tout de même ajouter les adresses IP de pays entiers à votre configuration CSF, ouvrez le fichier suivant :
/etc/csf/csf.conf
Recherchez la section intitulée « CC_Allow or CC_Deny » et entrez l’un des codes de pays suivants :
AF,AL,DZ,AS,AD,AO,AI,AQ,AG,AR,AM,AW,AU,AT,AZ,BS,BH,BD,BB,BY,BE,BZ,BJ,BM,BT,BO,BA,BW,BV,BR,IO,BN,BG,BF,BI,KH,CM,CA,CV,KY,CF,TD,CL,CN,CX,CC,CO,KM,CG,CD,CK,CR,CI,HR,CU,CY,CZ,DK,DJ,DM,DO,TP,EC,EG,SV,GQ,ER,EE,ET,FK,FO,FJ,FI,FR,FX,GF,PF,TF,GA,GM,GE,DE,GH,GI,GR,GL,GD,GP,GU,GT,GN,GW,GY,HT,HM,VA,HN,HK,HU,IS,IN,ID,IR,IQ,IE,IL,IT,JM,JP,JO,KZ,KE,KI,KP,KR,KW,KG,LA,LV,LB,LS,LR,LY,LI,LT,LU,MO,MK,MG,MW,MY,MV,ML,MT,MH,MQ,MR,MU,YT,MX,FM,MD,MC,MN,MS,MA,MZ,MM,NA,NR,NP,NL,AN,NC,NZ,NI,NE,NG,NU,NF,MP,NO,OM,PK,PW,PA,PG,PY,PE,PH,PN,PL,PT,PR,QA,RE,RO,RU,RW,KN,LC,VC,WS,SM,ST,SA,SN,SC,SL,SG,SK,SI,SB,SO,ZA,GS,ES,LK,SH,PM,SD,SR,SJ,SZ,SE,CH,SY,TW,TJ,TZ,TH,TG,TK,TO,TT,TN,TR,TM,TC,TV,UG,UA,AE,GB,US,UM,UY,UZ,VU,VE,VN,VG,VI,WF,EH,YE,ZM,ZW
Pour obtenir de plus amples renseignements, veuillez consulter la documentation officielle : http://www.configserver.com/techfaq/index.php
Gestion des adresses IP
Pour accepter des adresses IP données ou créer une liste blanche les regroupant, utilisez la commande suivante :
csf -a 123.123.123.123
Remplacez les numéros par les adresses IP que vous souhaitez autoriser. Celles-ci seront ajoutées à une liste des adresses IP autorisées à accéder à votre serveur. Cette liste est contenue dans /etc/csf.conf et peut être modifiée manuellement.
Vous pouvez également retirer une adresse IP de cette liste à l’aide de la commande :
csf -ar 123.123.123.123
Dans le cas d’une attaque, vous pouvez également bloquer certaines adresses IP. Utilisez la commande suivante :
csf -d 123.123.123.123
Cette adresse IP sera ajoutée à la liste des adresses IP bloquées par iptables. Elle se trouve dans at /etc/csf.deny.
Vous pouvez également retirer une adresse IP en utilisant la commande suivante :
csf -dr 123.123.123.123
N’oubliez pas de redémarrer CSF lorsque vos modifications sont terminées :
csf -r
0 Commentaires