script iptable et ip non fixe pour moi

[chriszep]

bonjour à tous

voilà je teste le script suivant

#!/bin/bash
# Arret de fail2ban
/etc/init.d/fail2ban stop
echo Arret de Fail2ban : [OK]
echo Mise en place des regles de filtrage...

# on conserve le necessaire
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Configuration de base
# Reinitialisation des tables actuelles
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
echo - Vidage : [OK]

# Autoriser les connexions SSH
iptables -t filter -A INPUT -p tcp --dport 2707 -j ACCEPT
echo - Autoriser SSH : [OK]

# Interdire toute connexion entrante
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
/sbin/iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Configuration specifique
# Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
/sbin/iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
modprobe ip_conntrack_ftp
/sbin/iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
/sbin/iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]


# Anti-Taiwanais
iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
echo - Bloquer les spammeur asiatiques : [OK]


# Protection de quelques types d'attaque
# Syn-Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]
# Spoofing
/sbin/iptables -N SPOOFED
/sbin/iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
/sbin/iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
/sbin/iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
/sbin/iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
/sbin/iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]
# Lancement de fail2ban
/etc/init.d/fail2ban start
echo Lancement de fail2ban : [OK]
echo Firewall mis en place !

ok la solution serait d'avoir une ipfixe mais ce n'est pas le cas

un service dydns peut être

et vous comment faites vous ? pour adminsitrer vos serveurs linux à distance ?

merci d'avance