Bonsoir,
J'ai installé une raspberry sous Raspbian, sur laquelle tourne quelques services perso, et quelques scripts (ainsi qu'un Owncloud). Certains fichiers sont trop gros pour transiter par PHP, du coup j'ai mis en place un serveur VSFTPd (qui est sécurisé niveau accès des utilisateurs). J'aimerai que ces transferts FTP ne puissent se faire qu'en local, et que le serveur web reste accessible au net (pour cela j'ai configuré un DynDNS chez No-IP). Comment faire? Modifier la config de la box, de VSFTPd? Je me suis renseigné un peu sur IPtables, mais je ne comprends rien...
Merci d'avance!

Pour rendre une interface HTTP accessible depuis l'extérieur, tu as probablement ouvert le port 80 de ta box. Si tu as autorisé le FTP, tu as aussi ouvert le 21, il suffit de le supprimer de la liste des redirections de ta box pour qu'il ne soit plus accessible depuis l'extérieur.

Tu peux également configurer ton serveur FTP et/ou iptables pour accepter uniquement les connections de ton réseau local (192.168.0.0/16), c'est une mesure redondante avec la fermeture du port 21 de ta box (qui fait office de parefeu pour l'ensemble de ton réseau local, et bloque donc toutes les connections entrantes vers les ports que tu n'as pas explicitement ouverts).

Bonjour,
J'ai réussi à bloquer l'accès au FTP via les paramètres personnalisés de la box. Par pure curiosité, quel est le code pour le faire par iptables?
De plus dans mes logs owncloud, je vois des scans réguliers de mon ip (or on ne peut accéder au owncloud que via le dyndns, et non via l'ip de ma box). Beaucoup viennent de la "ShadowServer Foundation", dont une des IP est http://184.105.247.196/ . Est-ce normal? Peut-on s'en prémunir?

-
Edité par RavThomas 22 avril 2016 à 15:57:19

Coucou,

Le plus simple (sans passer par la box) est d’indiquer l’IP pour le bind du port d’écoute, à savoir pour toi 192.168.0.1:21 si ton serveur à l’IP 192.168.0.1 dans la conf du serveur FTP.

Pour iptables, en considérant que iptables est de base bien configuré :

iptables -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 127.0.0.0/8 -i lo -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j DROP

eth0 étant à remplacer par l’interface correspondante. (code pas testé)

Pour la ShadowServer Foundation, oui c’est normal, à partir du moment où tu exposes un service sur Internet, n’importe qui peut s’y connecter, à toi de t’assurer que le service en question est suffisamment sécurisé.

Effectivement, normal que tu reçoives des requêtes d'un peu partout, il y a une infinité de bot qui parcourent le net en permanence (pour plein de raisons : référencement, qualité de service, constitution de statistiques, et malheureusement des raisons moins cool).

Ils scannent ton IP (et non ton nom de domaine) parce qu'une fois le DNS résolu, c'est par l'adresse IP qu'on se connecte aux services, c'est normal.

Et là, à moins de filtrer spécifiquement des IP publiques (mais ça veut dire que tu sais toujours avec quelle IP publique tu vas te connecter à ton cloud, impossible), pas grand chose à faire, comme l'a dit fscorpio, si tu vois ton service, les autres aussi.

Bonjour,

Merci pour vos réponses

Je n'ai malheureusement pas réussi à configurer iptables, mais bon, la box permet le bloquage,  c'est le principal.

Merci beaucoup !