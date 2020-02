Voici le troisième article dans la série sur le système de pare-feu FirewallD. Dans nos deux précédents articles, nous avons configuré FirewallD sur un serveur simple et sur un routeur dans le réseau local. Aujourd’hui nous allons nous intéresser de plus près à la configuration de FirewallD sur un serveur dédié dans un datacenter.

FirewallD sur un serveur dédié

Dans le réseau de mon entreprise, la machine alphajet.microlinux.fr est un serveur dédié muni d’une installation de CentOS 7. Elle héberge entre autres choses la page que vous êtes en train de lire et dispose actuellement d’un pare-feu géré par un script Iptables et couplé à Fail2ban.

Avant de supprimer ce pare-feu « fait maison », j’affiche les règles en vigueur et je prends note des différents services autorisés.

DNS

HTTP

HTTPS

SMTP

SMTPS

IMAP

IMAPS

XMPP

Je désactive le pare-feu « fait maison ».

$ sudo systemctl stop iptables $ sudo yum remove iptables-services

J’installe le paquet firewalld .

$ sudo yum install firewalld

J’active et je lance le service correspondant.

$ sudo systemctl enable firewalld --now

J’affiche l’état du pare-feu.

$ sudo firewall-cmd --state running

Le serveur dispose d’une interface réseau eth0 avec une ouverture frontale sur Internet.

$ nmcli con show NAME UUID TYPE DEVICE WAN f1f2025e-dbed-3596-b314-371972966e30 ethernet eth0

Dans la configuration par défaut, cette interface est associée à la zone public . Rappelons ici que les « zones » de FirewallD représentent une collection de règles de pare-feu adaptées à un certain contexte.

$ firewall-cmd --get-active-zones public interfaces: eth0

La zone public est parfaitement adaptée à un serveur dédié. Nous allons donc la conserver. Pour plus de clarté, nous allons même l’inscrire explicitement dans la configuration de l’interface réseau.

$ echo "ZONE=public" | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-WAN

J’affiche la configuration de la zone.

$ sudo firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Je peux sereinement me débarrasser de dhcpv6-client pour ne garder que le seul service ssh .

$ sudo firewall-cmd --permanent --remove-service=dhcpv6-client success $ sudo firewall-cmd --reload success

J’affiche la liste complète des services disponibles et je repère ceux qui m’intéressent.

$ firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

J’autorise les services dns , http , https , smtp , smtps , imap , imaps et xmpp-client . Étant donné qu’il s’agit de la zone public définie par défaut, ce n’est pas le peine de la préciser explicitement.

$ sudo firewall-cmd --permanent --add-service=dns success $ sudo firewall-cmd --permanent --add-service=http success $ sudo firewall-cmd --permanent --add-service=https success $ sudo firewall-cmd --permanent --add-service=smtp success $ sudo firewall-cmd --permanent --add-service=smtps success $ sudo firewall-cmd --permanent --add-service=imap success $ sudo firewall-cmd --permanent --add-service=imaps success $ sudo firewall-cmd --permanent --add-service=xmpp-client success $ sudo firewall-cmd --reload success

J’affiche le résultat de l’opération.

$ sudo firewall-cmd --list-services dns http https imap imaps smtp smtps ssh xmpp-client

Fail2ban et Firewalld

Fail2ban s’intègre très bien avec FirewallD. Il suffit d’installer le paquet correspondant.

$ sudo yum install fail2ban-firewalld

Notez ici que je n’installe pas le métapaquet fail2ban . Mon installation dispose uniquement des paquets suivants.

$ rpm -qa | grep fail2ban fail2ban-server-0.10.5-2.el7.noarch fail2ban-firewalld-0.10.5-2.el7.noarch

Je relance le service correspondant.

$ sudo systemctl restart fail2ban

Le paquet fail2ban-firewalld consiste en fait d’un seul bout de fichier de configuration /etc/fail2ban/jail.d/00-firewalld.conf qui définit l’action à effectuer en cas de bannissement d’une adresse IP.

Je souhaite me débarrasser des attaques en force brute via SSH.

# /etc/fail2ban/jail.d/sshd.local [DEFAULT] bantime = 86400 ignoreip = 78.197.22.147 163.172.63.88 [sshd] enabled = true

Une règle de pare-feu est en place pour bloquer les tentatives d’intrusion.

$ sudo firewall-cmd --direct --get-all-rules ipv4 filter INPUT_direct 0 -p tcp -m multiport --dports ssh -m set --match-set f2b-sshd src -j REJECT --reject-with icmp-port-unreachable

Nous disposons d’une liste f2b-sshd composée de toutes les adresses IP générées par les tentatives de connexion échouées. Affichons le contenu de cette liste.

$ sudo ipset list f2b-sshd Name: f2b-sshd Type: hash:ip Revision: 4 Header: family inet hashsize 1024 maxelem 65536 timeout 86400 Size in memory: 13464 References: 1 Number of entries: 154 Members: 222.236.198.50 timeout 86337 202.88.241.107 timeout 86337 218.92.0.173 timeout 86337 54.37.205.162 timeout 86338 140.143.133.134 timeout 86337 211.68.251.62 timeout 86337 49.212.211.207 timeout 86338 167.99.75.174 timeout 86337 64.225.67.200 timeout 86338 58.215.215.134 timeout 86338 218.92.0.138 timeout 86337 ...

Mon serveur dédié dispose désormais d’un pare-feu avec une configuration raisonnablement saine et une intégration de Fail2ban contre les attaques par force brute.

