Quel firewall avec ispconfig ?

[ortolojf]

Bonjour

Je compte migrer prochainement mon VPS OVH Debian 10 vers un VPS OVH avec Debian 12 et ispconfig.

Je suppose que le firewall par défaut est ufw.

J'ai besoin de règles très pointues, et pensais utiliser nftables.

Est-ce possible avec ispconfig ?

Merci beaucoup.

 

[spout]

Ah c'est déjà fini l'idée de rocklinux machin ?
Règles très pointues ? C-a-d ?
UFW c'est un helper pr iptables et ça fait pas mal le taff.
Si tu veux THE firewall c'est pfSense / OPNSense mais il faut un autre device en plus de ton dédié/VPS.

 

[WebRankInfo]

quand je réalise que ça fait 20 ans que vous discutez de ce genre de trucs tous les 2 !!!

 

[ortolojf]

Excusez-moi Spout

Avec ufw :

J'ai besoin de permettre l'accès au port ssh ( 22 ou autre chose ) , à partir de mon adresse ipv4 et du sample des ports ( par exemple ) : 16384-32768.

Les autres ports clients que 16384-32768 devraient être interdits.

C'est la seule règle compliquée à configurer.

Les autres je sais faire.

Merci beaucoup Spout

 

[ortolojf]

Voili voilou

From :

https://manpages.ubuntu.com/manpages/xenial/en/man8/ufw.8.html

       ufw   [--dry-run]   [rule]  [delete]  [insert  NUM]  allow|deny|reject|limit  [in|out  [on INTERFACE]] [log|log-all] [proto PROTOCOL] [from ADDRESS [port PORT | app APPNAME  ]]  [to ADDRESS [port PORT | app APPNAME ]] [comment COMMENT]

Cà marche.

 

[ortolojf]

Bonjour

Il y a probablement des rules redondantes.

Reste à savoir comment configurer Ispconfig.

Il me semble que seules les règles in sont possibles pas les out.

Voilà la chose :

ufw allow default outgoing

ufw deny default incoming


ufw allow proto tcp port 20,21,22,80,443,40110:40210 comment 'Web'

ufw allow proto tcp port 25,110,143,465,587,993,995 comment 'Mail'

ufw allow 53 comment 'DNS'

ufw allow proto tcp port 8080,8081 comment 'Panel'


ufw allow in from 78.194.232.180 port 16384:32768 to 152.228.170.112

ufw allow out from 152.228.170.112 to 78.194.232.180 port 16384:32768


ufw deny in from 78.194.232.180 port 0:16383 to 152.228.170.112 port 22

ufw deny in from 78.194.232.180 port 32769:65535 to 152.228.170.112 port 22

ufw deny out from 152.228.170.112 port 22 to 78.194.232.180 port 0:16383

ufw deny out from 152.228.170.112 port 22 to 78.194.232.180 port 32769:65535

 

[ortolojf]

Pffouu...

Cà passe sans erreur en ---dry-run sur mon Fedora 39.

Je sais pas encore comment configurer correctement ufw avec ispconfig de cette façon.

Merci beaucoup de votre aide.

#!/usr/bin/bash

ufw --dry-run default allow outgoing

ufw --dry-run default deny incoming

ufw --dry-run allow in proto tcp from 78.194.232.180 port 16384:32768 comment 'Mon_IP'

ufw --dry-run allow out proto tcp from 152.228.170.112 port 22 to 78.194.232.180 port 16384:32768 comment 'Mon_IP'


ufw --dry-run allow in proto tcp to 152.228.170.112 port 20,21,80,443,40110:40210 comment 'Web'

ufw --dry-run allow in proto tcp to 152.228.170.112 port 25,110,143,465,587,993,995 comment 'Mail'

ufw --dry-run allow in to 152.228.170.112 port 53 comment 'DNS'

ufw --dry-run allow out from 152.228.170.112 port 53 comment 'DNS'

ufw --dry-run deny out from 152.228.170.112 port 22 comment 'SSH'

 

[artoflog]

si jamais, c'est tout bien expliqué (en anglais) ici : https://www.cherryservers.com/blog/how-to-configure-ubuntu-firewall-with-ufw

 

[ortolojf]

Merci beaucoup artoflog

Je vais peaufiner mes scripts et chercher sur le net pour ispconfig et ufw.

Je crains fort qu'il n'y ait pas de possibilité avec ispconfig, de spécifier de règles from et to en même temps.

Amicalement.

 

[ortolojf]

Bonjour

Est-il possible avec ISPCONFIG, de piloter le firewall UFW, comportant des rules de type :

ufw allow in proto tcp from ${MON_IP} port ${MY_PORTS} comment 'Mon_IP'

ufw allow out proto tcp from ${IP_SERVER} port ${PORT_SSH} to ${MON_IP} port ${MY_PORTS} comment 'Mon_IP'

Avec MY_PORTS="16384:32768" ?

Sinon est-il possible d'installer ISPCONFIG sans UFW, mais de gérer UFW manuellement ?

Merci beaucoup.