• # Plusieurs réponses:

    Posté par . En réponse au message Iptables sur serveur web. Évalué à 0.

    -Le script ci-dessous est-il correct pour securiser un serveur web ?

    La non. Absolument pas pour un serveur _web_.

    D'emblée tu autorises les ports en entrée:
    21, 25, 53, 110, 2602; j'accepte le 443 est en bonus.

    Pour sécuriser un serveur web, il n'y a pas 350 regles:

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

    (pas besoin du RELATED pour le serveur WEB, c'est utile pour des connexions comme le ftp).
    Il doit y avoir moyen de blinder encore un peu plus en vérifiant vraiment quel paquet entre, mais c'est un bon début.

    Pour l'ICMP, il y a plusieurs écoles. Sur mes machines, j'autorise, d'autres sont farouchement opposés; à toi de voir.

    De manière globale, pour firewaller une machine de type _serveur_.
    1. tu mets les trois règles de policy en DROP (attention à ne pas te couper l'herbe sous les pieds si tu es connecté en distant!!)
    2. tu autorises en entrée vers le service que tu souhaites (par exemple tcp-80), puis le ESTABLISHED en sortie
    3. si ta machine doit sortir, tu n'autorises que vers des IP connues! par exemple, uniquement vers les IP des DNS connus, genre:
    iptables -A OUTPUT -p udp --dport 53 -d -j ACCEPT
    iptables -A INPUT -p udp --sport 53 -s -j ACCEPT
    4. N'autoriser que le ssh comme protocole de gestion de machine. On peut changer de port, ca evitera aux logs d'etre pourris de portscan et de brute force (quoique...) mais l'idee c'est de ne faire que du ssh pour administrer la machine (le ftp est a bannir, utilisez sftp / scp)

    Et surtout rien de plus.

    Ensuite, pour tes questions:
    Pourquoi pour un serveur web autoriser du ftp, du smtp, du pop3?