[Mémo] Filtrage de base iptables
Dans ce petit mémo, nous allons voir comment offrir une protection de base à vos serveurs dédiés grâce à iptables.
Pour ce faire, voici un script permettant d'offrir une protection avec quelques bonus :
#!/bin/bash ### BEGIN INIT INFO # Provides: iptables # Required-Start: $remote_fs $syslog # Required-Stop: $remote_fs $syslog # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: Start daemon at boot time # Description: Enable service provided by daemon. ### END INIT INFO case $1 in start) # On vide toutes les règles existantes : iptables -F # On accepte tout en entrée et en sortie sur localhost (en local) #INPUT iptables -A INPUT -i lo -j ACCEPT #OUPUT iptables -A OUTPUT -o lo -j ACCEPT # Dans le cas d'un serveur WEB et pour administrer votre serveur en ssh : On autorise de taper le serveur depuis le WAN #INPUT iptables -A INPUT -i venet0 -p tcp -m multiport --dports http,ssh -m state --state NEW,ESTABLISHED -j ACCEPT #OUPUT iptables -A OUTPUT -o venet0 -p tcp -m multiport --sports http,ssh -m state --state ESTABLISHED -j ACCEPT # Dans mon cas, je sors de mon dédié sur IRC,SNMP,DNS,HTTP donc j'autorise tout ce traffic vers le WAN # Pour rappel : # 53 : DNS permettant de résoudre les noms de domaine # 161 : SNMP #INPUT iptables -A INPUT -i venet0 -p tcp -m multiport --sports http,ircd -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i venet0 -p udp -m multiport --sports 53,161 -m state --state ESTABLISHED -j ACCEPT #OUPUT iptables -A OUTPUT -o venet0 -p tcp -m multiport --dports http,ircd -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o venet0 -p udp -m multiport --dports 53,161 -m state --state NEW,ESTABLISHED -j ACCEPT # Permettre de ping une IP (utilisé dans mon cas pour du monitoring via CACTI) sur le WAN et permettre à cette dernière de ping le serveur #INPUT iptables -A INPUT -p icmp -s 1.1.1.1 -m state --state NEW,ESTABLISHED -j ACCEPT #OUPUT iptables -A OUTPUT -p icmp -d 1.1.1.1 -m state --state NEW,ESTABLISHED -j ACCEPT # Par défaut : AUCUNE ENTREE, AUCUNE SORTIE, AUCUN FORWARD d'une if à une autre iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Liste les règles par défaut iptables -L -v -n #Log le trafic entrée et sortie rejeté (logs dispo dans /var/log/messages) /sbin/iptables -A INPUT -j LOG /sbin/iptables -A OUTPUT -j LOG # Dans mon cas, j'utilise fail2ban pour bloquer les zombies, le redémarrer va permettre de replacer sa règle iptables précédemment supprimé /etc/init.d/fail2ban restart ;; esac
Le mieux est par la suite de le placer dans /etc/init.d/ et de faire un petit update-rc.d "nom du script" defaults pour permettre la maj automatique des règles iptables au démarrage de votre serveur.
Voilà tout !
Un script simple et vraiment pratique pour une conf par défaut ! Il est bien-sûr possible de pousser plus loin le filtrage via IP par exemple pour le trafic en sortie snmp(pas possible dans mon cas car dyndns pour quelques serveurs) ou http(si ce dernier n'est utilisé que pour les MAJ de la distribution).
Par la même occasion, je profite de ce post pour vous souhaiter à tous et à toutes bonne années 2013 !
D'autres questions ? N'hésitez pas à poster un commentaire !
[Astuce] Récupérer un screen Irssi dans un client IRC graphique (xchat)
Nous allons voir comment attacher un screen irssi dans un autre client ce qui peut être très pratique lorsque l'on veut utiliser un client graphique sans devoir perdre à chaque fois le flux des messages entre 2 déconnexions de ce dernier (le screen restant connecté.). Dans notre cas, nous allons utiliser X-chat. 🙂
Sélection d’applications pour Android
Cela fait maintenant un peu plus d'un an et demi que j'ai mon HTC Hero.
Dans ce billet, je vais vous présenter une sélection personnelle d'applications que j'utilise régulièrement ou occasionnellement sur mon Hero ! Pour les installer il vous suffit de cliquer sur le nom de l'application.
À noter que mon Hero est sous Android Eclair 2.1 (ROM CUSTO VILLAINROM13)
[HowTo] Utilisation de la solution SYSPREP sous Windows Seven
Cette documentation a été rédigée par mes soins lors de mon stage au sein de l'IUT de Metz. Cette solution est actuellement utilisée dans un parc de 850 machines. À noter qu'elle est en complément de mon HowTo de déploiement d'images via Clonezilla.
Liminaire
Objectifs
Les objectifs au terme de ce projet sont de pouvoir :
- Générer un nouveau sid aléatoire au poste ainsi que faire un refresh matériel de ce dernier.
- Paramétrer le premier démarrage de façon transparente (aucune demande pour entrer les utilisateurs, etc....)
- Récupérer le nom de la machine via reverse dns
- Intégrer automatiquement le domaine
- Configurer l’horloge via ntp
[Astuce] Comment télécharger toutes les données de votre profil Facebook
Cette astuce va vous permettre de télécharger toutes vos données concernant votre profil Facebook (Photos,liste de contacts, vidéos, liens, murs,...)
Pour se faire, il faut d'abord vous diriger vers http://www.facebook.com/editaccount.php?language puis changer vos préférences de langues en "English US" :
[Astuce] [Linux] Lancer une application dans un espace de travail en console
Nous allons voir comment lancer plusieurs applications au démarrage de session et ranger ces fenêtres dans leurs espace de travail respectifs (espace que nous attribuons...) 🙂
Dans le cadre de cette astuce, nous allons juste placer la messagerie dans l'espace de travail numéro 2 et TweetDeck dans l'espace de travail numéro 3 et le tout au démarrage de session.
[HowTo] Utilisation de clonezilla pour le déploiement d’images via pxe
Cette documentation a été rédigée par mes soins lors de mon stage au sein de l'IUT de Metz.
Cette solution est actuellement utilisée dans un parc de 850 machines.
Objectifs
Les objectifs au terme de ce projet sont de pouvoir :
- Démarrer depuis le serveur un ou des postes à distance (utilisation de WOL)
- Pouvoir choisir à distance depuis le serveur sur quel partition l’on veut démarrer (utile pour une maintenance)
- Pouvoir à distance faire une image d’un ou de plusieurs clients en multicast via PXE
- Pouvoir restaurer une image précédemment créée toujours via PXE (en multicast)
[HowTo] Installation d’une Debian Lenny sur une Soekris net4501
Liminaire
Nous allons installer une Debian Lenny sur une Soekris Net4501.
I - Logiciels et matériel requis
Voici ce qu'il vous faut :
- OS : Linux | Distribution : Debian Lenny
- Une soekris net4501 et un câble série NULL MODEM
- Un poste client
Construction d’un avion en 2 minutes 30
Vidéo de la construction d'un avion Boeing en accéléré pour la compagnie Southwest Airlines
Mise à jour Android 2.1 sur HTC HERO
#### Note 21/04/10 ####
Bon à priori, encore à attendre. La mise à jour finale ne serait pas disponible avant juin
D'après un porte parole d'HTC (donc c'est plus ou moins officiel), une mise à jour initiale 2.1devrait être disponible début juin suivis de peu de temps après, la mise à jour finale en 2.1, donc compléte.
Voilà maintenant 4-5 mois qu'HTC reporte cette mise à jour... Je me demande si elle sera prête un jour...
Espérons qu'elle sortira bien en juin cette fois ci !
Source : http://bit.ly/arwxF2