Installer un serveur dédié sous Ubuntu Serveur

Date de publication : 09 décembre 2011.

Version PDF (Miroir) Version hors-ligne (Miroir)

XII. IPtables Firewall

A Tester nano /etc/init.d/firewall.sh


#!/bin/bash
echo '##########################'
echo '### FIREWALL           ###'
echo '##########################'
echo

# Réinitialisation
iptables -t filter -F
iptables -t filter -X
echo Reinitialisation.

# Connexion interdite par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
#iptables -t filter -P OUTPUT DROP
echo Rejet des connexions entrantes et de redirections par défaut.

# Connexions établies acceptées
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo ACCEPT - connexions établies

# requêtes ICMP et loopback acceptées
iptables -t filter -A INPUT -p icmp -j ACCEPT
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo ACCEPT - ICMP et Loopback

# On accepte SSH en Entrée sur 1234 et en sortie sur 22 (a voir en fonction de vos besoins) 
iptables -t filter -A INPUT -p tcp --dport 1234 -j ACCEPT
echo ACCEPT - IN ssh port 1234
#iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
#echo ACCEPT - OUT ssh port 22

# Accès Bind (DNS)
#iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
echo ACCEPT - Bind DNS

# NTP
#iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo ACCEPT - OUT NTP

# Accès HTTP et HTTPS, 80 OUT pour l'utilisation de apt-get
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 2812 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
echo ACCEPT - HTTP, HTTPS et HTTP monit, 80 OUT apt-get


# Serveur mail 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo ACCEPT - Mail

echo
echo '##########################'
echo '### Firewall configuré ###'
echo '##########################'

tester avec chmod +x /etc/init.d/firewall.sh
./firewall.sh
tester accès ssh, http, etc...
si ok alors charger au démarrage : update-rc.d firewall.sh defaults (pour retirer : update-rc.d -f firewall.sh remove)
si non ok alors reboot (le fichier ne sera pas rechargé)

Précédent Sommaire Suivant

Version PDF (Miroir) Version hors-ligne (Miroir)

Copyright © 2011 Benjamin GAGNEUX. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.