Bonjour,
 
Je suis à la recherche d'un script iptables pour mon debian ou est installé un serveur apache et vsftpd accessibles depuis internet.
Je ne m'en fais aps trop pour le serveur ftp, mais c'est apache qui m'inquiète le plus (floods etc)
 
J'ai fais qques recherches mais beaucoups sont trop compliqués (pour passerelles par ex) ou trop simplistes (on interdit tout et c'ets tout)
Je fais donc appel à votre expérience pour me conseiller un script (ca sera ma premeire installation, j'espere et pense que ce sera simple)
 
Qques idées auxquelles j'ai pensé :
- l'interface est en eth0
- les ports 80 et 21 doivent être ouverts vers l'extérieur
- l'adresse 192.168.0.1 doit aussi avoir accès à samba (je me souviens plus des ports) et au shell distant
- Si un client apache fait plus de 2 ouverture de document par seconde, il est banni 10 minutes (mais il faudra que cela ne concerne que les documents qu'il appelle directement, donc ne pas conter les includes, les images à l'intérieur des pages etc etc..
- Si un client ftp ne trouve pas le mot de passe en moins de 5 tentatives, l'ip est bannie 24h
 
 
Voila voila j'espère que vous pourrez m'aider! Merci!

Ce que tu demandes se configure dans les fichier specifique de apache et vsftpd (nombres de tentavices de connection etc...)
Pour iptables, tu bloque tout et tu n'ouvre que les ports 80, 21, 139 et 445.
Le mieux etant de separé le firewall et le serveur (sur 2 machines)
Pour le ban d'ip, ca se fait avec des script et iptables. Il y a un topic la dessus qui concerne surtout le ssh mais tu dois pourvoir l'adapter
http://forum.hardware.fr/forum2.ph [...] ash_post=0

 
donc c'est dans les fichiers conf ou avec un script    
pour vsftpd je n'ai pas trouvé, pour apache j'avais trouvé un lien vers un module mais le lien ne marchait plus
et est-ce nécessaire de bloquer les ports si on se trouve derrière un routeur simple ou seuls 21 et 80 sont redirigés ?

Je vais essaye mod_security pour apache 2 je pense, il rempli aussi le role de mod_throttle aussi ou je devrait l'installer aussi ?

apache j'y connais rien, mais pour le ftp (j'utilise proftpd), il y a l'option MaxLoginAttempts qui permet de limiter les tentatives de connexion.
Ce que je voulais dire, c'est que pour les limites d'utilisation des serveurs, ca se passe dans les fichiers de conf, et pour le ban, ca se passe avec des scripts et iptables.
Si tu est derriere un routeur/firewall, alors c'est sur lui que tu dois créer tes regles iptables (si ce n'est pas deja fait). Theoriquement, tu n'as pas a rajouter de regles sur ton serveurs

 
Enfun, mon routeur est une freebox   , la je lute pour comprendre comment installer un module .c

ah d'accord, donc pas de firewall. Oui donc là iptables est necessaire quand même je pense. Enfin c'est ce que je ferais par precaution.
On peut installer des trucs sur la freebox ?

 
Nop, seulement des redirections de ports via une interface sur le site free.Fr