Bonjour,

Afin de sécuriser mon serveur (dédié chez un hébergeur) , je vais mettre en place le script suivant:

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

regles pour serveur web

iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

regles ssh (modification du port par defaut)

iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 -j DROP

regles icmp (permet le ping de l’hebergeur vers mon serveur web)

iptables -A INPUT -i eth0 -p icmp --source IP de l’hebergeur -j ACCEPT

iptables -A INPUT -i eth0 -j REJECT

Mes questions sont les suivantes:

-Le script ci-dessous est-il correct pour securiser un serveur web ?
-Comment rajouter dans mon script , le port knocking ?

Merci pour vos réponses.

Personnellement je trouve cela très minimaliste … trop ?!

Je ne vois pas l’intérêt de la première règle input.
J’ajouterais au moins un etat non invalide à toutes les autres règles input.
J’ajouterais de plus des règles de sortie qui traitent seulement les paquets ayant un état relatif ou établi.
Je modifierai les règles ssh pour traiter non pas qu’un état de paquet new, mais non invalide et créera la règle de sortie adéquat - tel que je te l’ai énoncé précédemment.
Quant à ta dernière règle, je la préciserai avec un état de paquet nouveau, et au-lieu d’un rejet, je la dropperai

Pour ce qui est du port Knocking, je ne sais pas …

PS : Au cas où, tu peux lire ma documentation sur iptables, sachant que je ne suis pas calé sur le sujet !
Il me semble qu’ashgenesis a fait une doc intéressante aussi, à ce sujet.