Firewall Archives - iZero

[Proxmox] Cloud serveur Proxmox 6.x sur un serveur Kimsufi avec pfSense et Openvpn

15 mai 202216 mai 2022 BEF Laisser un commentaire

Cloud serveur Proxmox 6.x sur un serveur Kimsufi avec pfSense et Openvpn Article original Publié le : 17 avril 2021 Mise a jour le : 15 mai 2022 Pour faire suite a l’article https://it.izero.fr/proxmox-cloud-serveur-proxmox-6-x-sur-un-serveur-kimsufi/ Pour les premiers tests, j’ouvrais les flux avec iptables mais cela devient vite trop lourd à gérer. Du coup, […]

[Script] Sauvegarder firewall Netasq / Stormshield avec Expect

8 septembre 20188 septembre 2018 BEF Laisser un commentaire

Sauvegarder firewall Netasq / Stormshield avec Expect J’ai trouvé sur un forum un script pour la sauvegarde d’un fw Netasq. je l’ai adapté et modifié pour mes besoins et testé, ca fonctionne a merveille. Ca me recupere toute la conf. J’ai testé sur un Stormshield ca fonctionne aussi, il y a juste […]

[Linux] Installation d’une Debian 9 + WordPress + Nginx + Netfilter

3 novembre 201721 janvier 2019 BEF Laisser un commentaire

Installation d’une Debian 9 + WordPress + Nginx + Netfilter Version de l’OS Debian 9 Version de WordPress 4.8.3 Pré-requis Php, Mariadb Installation du système Configuration de WordPress Configuration du vhost Nginx Générer un certificat Configuration de Netfilter Lancement de WordPress Installation du système Récupérer une image ISO […]

[Linux] Réactiver iptables sur CentOS 7

1 avril 201719 novembre 2017 BEF Laisser un commentaire

Réactiver iptables sur CentOS 7 Il faut arrêter le service firewalld, le désactiver, le désinstaller

$ sudo systemctl stop firewalld

1	$ sudo systemctl stop firewalld

$ sudo systemctl disable firewalld

1	$ sudo systemctl disable firewalld

$ sudo yum remove firewalld

1	$ sudo yum remove firewalld

Puis réinstaller le paquet iptables, l’activer et le démarrer

$ sudo yum install iptables-services

1	$ sudo yum install iptables-services

$ sudo systemctl enable iptables.service

1	$ sudo systemctl enable iptables.service

$ sudo systemctl start iptables.service

1	$ sudo systemctl start iptables.service

Pour activer iptables pour l’ipv6

$ sudo systemctl enable ip6tables.service

1	$ sudo systemctl enable ip6tables.service

[Linux] Iptables pour Openfire

30 mars 201715 novembre 2017 BEF Laisser un commentaire

Mis en place d’Iptables sur mon serveur Openfire OS: Centos 6.8

$ sudo vim /etc/sysconfig/iptables

1	$ sudo vim /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Tue Mar 22 12:07:57 2016
# Interdire toutes connexions entrantes et sortantes
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP

# Ne pas casser les connexions établies
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Autoriser ping
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

# Autoriser HTTP/HTTPS
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 443 -j ACCEPT

# Autoriser DNS
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT

# Autoriser SSH ip ou réseau local et autre ip public
-A INPUT -p tcp -s 192.168.1.0/24 --dport 1209 -j ACCEPT
-A INPUT -p tcp -s ippublic/32 --dport 1209 -j ACCEPT

# Autoriser LDAP
-A INPUT -p tcp --dport 389 -j ACCEPT
-A INPUT -p udp --dport 389 -j ACCEPT
-A OUTPUT -p tcp --dport 389 -j ACCEPT
-A OUTPUT -p udp --dport 389 -j ACCEPT

# Autoriser Port administration, XMPP/XMPPS et transfert de fichiers
-A INPUT -p tcp -s 192.168.1.0/24 --dport 9090 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 --dport 9091 -j ACCEPT
-A INPUT -p tcp --dport 7777 -j ACCEPT
-A OUTPUT -p tcp --dport 7777 -j ACCEPT
-A INPUT -p tcp --dport 5222 -j ACCEPT
-A OUTPUT -p tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp --dport 5223 -j ACCEPT
-A OUTPUT -p tcp --dport 5223 -j ACCEPT

# Autoriser Ofmeet-Jitsi
-A INPUT -p tcp --dport 7443 -j ACCEPT
-A OUTPUT -p tcp --dport 7443 -j ACCEPT
-A INPUT -p udp --sport 5000:6000 -j ACCEPT
-A INPUT -p udp --sport 50000:60000 -j ACCEPT
-A OUTPUT -p udp --sport 5000:6000 -j ACCEPT
-A OUTPUT -p udp --sport 50000:60000 -j ACCEPT

# Autoriser Postgresql
-A INPUT -p tcp --dport 5432 -j ACCEPT
-A OUTPUT -p tcp --dport 5432 -j ACCEPT
COMMIT

# Generated by iptables-save v1.4.7 on Tue Mar 22 12:07:57 2016

# Interdire toutes connexions entrantes et sortantes

*filter

:INPUT DROP

:FORWARD DROP

:OUTPUT DROP

# Ne pas casser les connexions établies

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

# Autoriser ping

-A INPUT -p icmp -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

# Autoriser HTTP/HTTPS

-A INPUT -p tcp --dport 80 -j ACCEPT

-A INPUT -p tcp --dport 443 -j ACCEPT

-A OUTPUT -p tcp --dport 80 -j ACCEPT

-A OUTPUT -p tcp --dport 443 -j ACCEPT

# Autoriser DNS

-A INPUT -p tcp --dport 53 -j ACCEPT

-A INPUT -p udp --dport 53 -j ACCEPT

-A OUTPUT -p tcp --dport 53 -j ACCEPT

-A OUTPUT -p udp --dport 53 -j ACCEPT

# Autoriser SSH ip ou réseau local et autre ip public

-A INPUT -p tcp -s 192.168.1.0/24 --dport 1209 -j ACCEPT

-A INPUT -p tcp -s ippublic/32 --dport 1209 -j ACCEPT

# Autoriser LDAP

-A INPUT -p tcp --dport 389 -j ACCEPT

-A INPUT -p udp --dport 389 -j ACCEPT

-A OUTPUT -p tcp --dport 389 -j ACCEPT

-A OUTPUT -p udp --dport 389 -j ACCEPT

# Autoriser Port administration, XMPP/XMPPS et transfert de fichiers

-A INPUT -p tcp -s 192.168.1.0/24 --dport 9090 -j ACCEPT

-A INPUT -p tcp -s 192.168.1.0/24 --dport 9091 -j ACCEPT

-A INPUT -p tcp --dport 7777 -j ACCEPT

-A OUTPUT -p tcp --dport 7777 -j ACCEPT

-A INPUT -p tcp --dport 5222 -j ACCEPT

-A OUTPUT -p tcp --dport 5222 -j ACCEPT

-A INPUT -p tcp --dport 5223 -j ACCEPT

-A OUTPUT -p tcp --dport 5223 -j ACCEPT

# Autoriser Ofmeet-Jitsi

-A INPUT -p tcp --dport 7443 -j ACCEPT

-A OUTPUT -p tcp --dport 7443 -j ACCEPT

-A INPUT -p udp --sport 5000:6000 -j ACCEPT

-A INPUT -p udp --sport 50000:60000 -j ACCEPT

-A OUTPUT -p udp --sport 5000:6000 -j ACCEPT

-A OUTPUT -p udp --sport 50000:60000 -j ACCEPT

# Autoriser Postgresql

-A INPUT -p tcp --dport 5432 -j ACCEPT

-A OUTPUT -p tcp --dport 5432 -j ACCEPT

COMMIT

Après toute modification

$ sudo iptables-save

1	$ sudo iptables-save

Redémarrer le service

$ sudo /etc/init.d/iptables restart

1	$ sudo /etc/init.d/iptables restart

[Netasq] Quelques infos en vrac..

30 mars 20176 janvier 2019 BEF Laisser un commentaire

Modèle F200 – problème d’accès ressources via VPN Problème: Suite a la mise en place de 2 boitiers en VPN site a site, certaines ressources sont inaccessibles. Nombreuses pertes de paquets, ré-émissions, dues à la fragmentation, il faut passer la limite MSS à 1300 sur les 2 boitiers.

<strong>Solution:</strong> Prévention d'Intrusion > ASQ > Stateful > Connexions) dans les profils 00 (incoming) et 01 (outgoing).

1	<strong>Solution:</strong> Prévention d'Intrusion > ASQ > Stateful > Connexions) dans les profils 00 (incoming) et 01 (outgoing).

Modèle F200/U250/U30/U70 – Redémarrage backup […]