bonjour

je souhaiterai savoir comment on peux se proteger de certaine attaque qui vise a saturer un serveur web

j'ai deja realisé un script iptables qui peux bloquer certaine attaque mais pas suffisament

voila mon firewall

#!/bin/sh

# Réinitialise les règles
iptables -t filter -F
iptables -t filter -X
  
# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
  
# Autorise les connexions déjà établies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
  
# ICMP (Ping)
iptables -N ICMP
iptables -A ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A ICMP -p icmp --icmp-type source-quench -j ACCEPT
iptables -A ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -j ICMP
  
# SSH
iptables -t filter -A INPUT -p tcp --dport 71 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 71 -j ACCEPT
#MYSQL
iptables -t filter -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT
  
# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
  
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# Mail SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
  
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
  
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
 
# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

#Anti Scan de port 
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#protection 
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT

#spoffing
iptables -A INPUT -i venet0:0 -s 0.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i venet0:0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i venet0:0 -s 224.0.0.0/3 -j DROP

quelle sont les modification a ajuster au niveau d'iptable ou sysctl ou même kernel ?

merci d'avance

as tu penser a un  très bon outils  synspam qui permet déjà un certain niveau de filtrage   ? 

je ne connaissais pas "olinux" , cela est t'il fiable ?

moi je proposerai un tarpit

-
Edité par Oldaric 21 octobre 2013 à 20:52:13

On ne fait pas de script bash d'initialisation du firewall netfilter par une succession de commande iptables. Par ailleurs ce script est plutôt naïf. Sais-tu en quoi consiste un firewall, quel type de protection peut éventuellement gêner un attaquant.

Pour ce qui est du deny de service: tu ne peux pas trop prévenir les risques, il y a des configurations que tu trouvera sur le net mais la résistance de ce type d'attaque est une question de ressources sur ton serveur et des logiciels qui y tournent dessus.

Fait une petite recherche sur le net comme systcl ddos, denyhost, syn cookies, fail2ban, etc... 

Je pense que ton plus gros soucis en matière sécurité de site web est le XSS. (peut-être que tu n'a pas besoin de joindre mysql depuis un autre lieu que ton serveur... je dis ça je dis rien. Parce que les failles mysql c'est pas comme si il en y a avait beaucoup...)

un amis ma suggérer un premier nivo de défense, qui est drop tout les premier paquet  de toute demande de connexion cela  a pour effet de recaler bcp de script de scan 

Bonjour,

Déterrage

Citation des règles générales du forum :

Avant de poster un message, vérifiez la date du sujet dans lequel vous comptiez intervenir.

Si le dernier message sur le sujet date de plus de deux mois, mieux vaut ne pas répondre.
En effet, le déterrage d'un sujet nuit au bon fonctionnement du forum, et l'informatique pouvant grandement changer en quelques mois il n'est donc que rarement pertinent de déterrer un vieux sujet.

Au lieu de déterrer un sujet il est préférable :

• soit de contacter directement le membre voulu par messagerie privée en cliquant sur son pseudonyme pour accéder à sa page profil, puis sur le lien "Ecrire un message"
• soit de créer un nouveau sujet décrivant votre propre contexte
• ne pas répondre à un déterrage et le signaler à la modération

Je ferme ce sujet. En cas de désaccord, me contacter par MP.