Règles strictes IPtable
Règles strictes IPtable - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 21-01-2013 à 12:08:10
Reply
Marsh Posté le 21-01-2013 à 12:21:48
elle est dans un datacenter. donc je suppose en frontrale puisque je ne loue aucun autre service que le dédié.
Marsh Posté le 21-01-2013 à 16:05:53
Demande au FAI de bloquer le traffic, toi t'es trop petit tu vas te prendre qd même les paquets (même si ils seront jetés)
Marsh Posté le 21-01-2013 à 16:23:00
Comme je suis "petit" mon hébergeur n'a pas souhaité s'occuper de mon cas plus longtemps et m'a indiqué que je pouvais contrer cette situation à 95% via iptable...
Je comprends l'histoire du goulot d'étranglement et de la nécessité d'avoir plus de bande passante mais ce n'est pas dans mes moyens.
Sinon si je poste ici c'est surtout pour valider mes règles. J'ai soif de connaissance dans la sécurité réseau. Je prends cette attaque comme une opportunité d'en apprendre d'avantage.
Aussi, je soulève ce point: je n'ai pas trouvé de solution pour logguer mon trafic afin d'analyser les paquets...
Message édité par 0xyd3 le 21-01-2013 à 16:23:57
Sujets relatifs:
- Outil audit regles firewall open source
- iptables sur un proxy squid transparent
- Règles iptables pour Squid/SSLStrip
- iptable : tinyproxy et openwrt
- iptables et forward
- Configuration Iptables
- [iptables]Table Routage VPN et "download station" d'un NAS Synology
- migration des règles de messagerie Exchange
Marsh Posté le 21-01-2013 à 10:41:04
Bonjour,
--- Pourquoi des règles strictes ---
Suite à des attaques DoS sur mon petit dédié (Debian) j'ai commencé à mettre les mains dans iptable. Je ne me suis jamais trop intéressé aux techniques de DoS jusqu'à maintenant. Au moment des attaques mon accès SSH était bloqué (timeout), je n'ai pas pu identifier quel était le type d'attaque et je n'ai pas trouvé de logs. Seul info: ça semble être une attaque orienté sur ma bande passante (graphique du transfert des paquets qui explose au moment des attaques).
Malgré mes recherches, la seul méthode que j'ai trouvé était de logguer du tcpdump avec un cycle cron mais le fichier log grossissait de 100Mo toute les 20 minutes. Hors je n'étais qu'à 35% de mon trafic habituel. ça ne semble pas être une bonne solution pour traquer mes détracteurs.
--- Le problème iptable ---
Ainsi et pour commencer, j'ai décidé d'établir des règles strictes via iptable pour réduire au maximum les risques. J'aimerais connaitre vos avis et si possible solliciter vos connaissances afin de les optimiser.
1) bloquer tout les ports qui ne me sont pas nécessaires.
2) les règles anti-dos sont-elles pertinente ?
3) CONNLIMIT ou LIMIT sur udp possible ?
Merci d'avance. Bonne journée !
Message édité par 0xyd3 le 01-02-2013 à 12:24:48