Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:hypervisor-01 [05/11/2023 19:51] – [Routage et filtrage avec iptables] LibertAdmintech:hypervisor-01 [09/01/2025 22:50] (Version actuelle) – [Topologie] LibertAdmin
Ligne 27: Ligne 27:
      * [[tech:web-01|web-01]] : Debian stable, Nginx, ffmpeg, services web, sites, blogs, sites internes      * [[tech:web-01|web-01]] : Debian stable, Nginx, ffmpeg, services web, sites, blogs, sites internes
  
-Toutes les requêtes venant d'internet sont pré-routées et redirigées via iptables vers la ou les machines virtuelles concernées. L'infrastructure interne est protégée par un pare-feu et un système de bannissement. +Toutes les requêtes venant d'internet sont pré-routées et redirigées via iptables en IPv4 vers la ou les machines virtuelles concernées. L'infrastructure interne est protégée par un pare-feu et un système de bannissement. En IPv6, chaque machine a son IP routable sur internet.
  
 ===== Configuration ===== ===== Configuration =====
 ==== Système d'exploitation ==== ==== Système d'exploitation ====
   * Debian stable (Debian 12 « Bookworm »)   * Debian stable (Debian 12 « Bookworm »)
-  * Debian oldstable pour le serveur web-01 (Debian 11 « Bullseye ») 
  
 ==== Adressage IP ==== ==== Adressage IP ====
Ligne 107: Ligne 106:
 </code> </code>
  
 +==== Paramètres réseau et swap dans sysctl ====
  
 +Dans ''/etc/sysctl.d/99-liberta.conf'' nous avons dû activer les paramètres réseau pour permettre au bridge de router les paquets et passer également la « swappiness » à 0. La mémoire doit être donc complètement saturée avant de commencer à « swapper » sur le disque dur (c'est un SSD) :
 +
 +<code>
 +net.ipv4.conf.all.accept_redirects = 0
 +net.ipv4.conf.all.rp_filter=1
 +net.ipv4.conf.default.rp_filter=1
 +net.ipv4.icmp_echo_ignore_broadcasts=1
 +net.ipv4.ip_forward=1
 +net.ipv6.conf.all.accept_dad=0
 +net.ipv6.conf.all.accept_ra=0
 +net.ipv6.conf.all.accept_ra_defrtr=0
 +net.ipv6.conf.all.accept_ra_pinfo=0
 +net.ipv6.conf.all.accept_ra_rtr_pref=0
 +net.ipv6.conf.all.accept_redirects = 0
 +net.ipv6.conf.all.accept_redirects=0
 +net.ipv6.conf.all.accept_source_route=0
 +net.ipv6.conf.all.autoconf=0
 +net.ipv6.conf.all.forwarding=1
 +net.ipv6.conf.default.accept_dad=0
 +net.ipv6.conf.default.accept_ra=0
 +net.ipv6.conf.default.accept_ra_defrtr=0
 +net.ipv6.conf.default.accept_ra_pinfo=0
 +net.ipv6.conf.default.accept_ra_rtr_pref=0
 +net.ipv6.conf.default.accept_redirects=0
 +net.ipv6.conf.default.accept_source_route=0
 +net.ipv6.conf.default.autoconf=0
 +vm.swappiness=0
 +</code>
 ==== Routage et filtrage avec iptables ==== ==== Routage et filtrage avec iptables ====
  
Ligne 113: Ligne 141:
  
 Le paquet ''iptables-persistent'' doit avoir été installé pour conserver les modifications du pare-feu entre chaque redémarrage. Le paquet ''iptables-persistent'' doit avoir été installé pour conserver les modifications du pare-feu entre chaque redémarrage.
-Le port SSH a été masqué. 
  
 Il est bien sûr extrêmement important de sécuriser SSH : interdire le login root avec mot de passe, utiliser de bons algorithmes de chiffrement, changer le port, n'autoriser qu'une IP distante (ou mieux, ne rien autoriser depuis internet et utiliser un VPN) et mettre en place un faux serveur SSH pour que les attaquants perdent leur temps à essayer de se connecter, sans vous faire perdre le vôtre (et ajouter un Fail2Ban évidemment). La recette reste secrète, désolé ! ;-) Il est bien sûr extrêmement important de sécuriser SSH : interdire le login root avec mot de passe, utiliser de bons algorithmes de chiffrement, changer le port, n'autoriser qu'une IP distante (ou mieux, ne rien autoriser depuis internet et utiliser un VPN) et mettre en place un faux serveur SSH pour que les attaquants perdent leur temps à essayer de se connecter, sans vous faire perdre le vôtre (et ajouter un Fail2Ban évidemment). La recette reste secrète, désolé ! ;-)
 +
 +Cela dit, pour information une configuration similaire à la suivante est en place :
 +
 +<code bash>
 +# /etc/ssh/sshd_config.d/liberta.conf
 +
 +# Common parameters:
 +Port <un_port>
 +Port <un_autre_port>
 +AcceptEnv LANG LC_* 
 +ChallengeResponseAuthentication no 
 +KbdInteractiveAuthentication no
 +PrintMotd no
 +PasswordAuthentication no
 +Subsystem sftp /usr/lib/openssh/sftp-server
 +UsePAM yes 
 +X11Forwarding no
 +
 +# Port <un_port> configuration for IPv4/IPv6:
 +Match Address="<adresse_ipv4_de_confiance>,127.0.0.0/8,<adresse_ipv6_de_confiance>,fd00::/8" LocalPort=<un_port>
 +    AllowUsers root <utilisateurice_de_confiance>
 +
 +# Port <un_autre_port> configuration for IPv4/IPv6:
 +Match LocalPort=<un_autre_port>
 +    AllowUsers <utilisateurice_de_confiance>
 +</code>
  
 Les règles concernant le réseau d'administration n'apparaissent pas non plus ici. Les règles concernant le réseau d'administration n'apparaissent pas non plus ici.
Ligne 123: Ligne 176:
 <code bash> <code bash>
 *nat *nat
-# Router le trafic Web vers le serveur web : +-A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 80,443 -m comment --comment "Router le trafic Web vers le serveur web" -j DNAT --to-destination 192.168.10.5 
--A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 80,443 -j DNAT --to-destination 192.168.10.5 +-A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 587,993,25 -m comment --comment "Router le mail envoi/réception vers le serveur mail" -j DNAT --to-destination 192.168.10.7 
-# Router le mail envoi/réception vers le serveur mail : +-A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 8484 -m comment --comment "Router le 8484 pour Zabbix vers le serveur monitoring" -j DNAT --to-destination 192.168.10.250 
--A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 587,993,25 -j DNAT --to-destination 192.168.10.7 +-A POSTROUTING -s 192.168.10.0/24 -d 224.0.0.0/24 -m comment --comment "Ne pas appliquer le masquerading sur le broadcast/multicast" -j RETURN 
-# Router le 8484 pour Zabbix vers le serveur monitoring : +-A POSTROUTING -s 192.168.10.0/24 -d 255.255.255.255/32 -m comment --comment "Ne pas appliquer le masquerading sur le broadcast/multicast" -j RETURN 
--A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 8484 -j DNAT --to-destination 192.168.10.250 +-A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p tcp -m comment --comment "Masquerading sur tous les ports dans le sens sortant (VM -> Internet)" -j MASQUERADE --to-ports 1024-65535 
-# Ne pas appliquer le masquerading sur le broadcast/multicast : +-A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p udp -m comment --comment "Masquerading sur tous les ports dans le sens sortant (VM -> Internet)" -j MASQUERADE --to-ports 1024-65535 
--A POSTROUTING -s 192.168.10.0/24 -d 224.0.0.0/24 -j RETURN +-A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -m comment --comment "" -j MASQUERADE
--A POSTROUTING -s 192.168.10.0/24 -d 255.255.255.255/32 -j RETURN +
-# Masquerading sur tous les ports dans le sens sortant (VM -> Internet) +
--A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535 +
--A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p udp -j MASQUERADE --to-ports 1024-65535 +
--A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -j MASQUERADE+
 COMMIT COMMIT
 *filter *filter
-# Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée : +-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "Accepter le trafic des connexions établies, en entrée" -j ACCEPT 
--A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT +-A INPUT -i lo  -m comment --comment "Accepter le trafic basique depuis la boucle locale, en entrée"-j ACCEPT 
--A INPUT -i lo -j ACCEPT +-A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -m comment --comment "Accepter le trafic basique ICMP, en entrée" -j ACCEPT 
--A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT +-A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -m comment --comment "Accepter le SSH" -j ACCEPT 
-Accepter le SSH : +-A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -m comment --comment "Accepter le SSH" -j ACCEPT 
--A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT +-A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -m comment --comment "Accepter les connexions pour le mail" -j ACCEPT 
--A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT +-A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -m comment --comment "Accepter le tunnel SSH vers le serveur web-01 sur le port 52365" -j ACCEPT 
-# Accepter les connexions pour le mail : +-A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -m comment --comment "Accepter les requêtes DNS (port 53) depuis les VM" -j ACCEPT 
--A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT +-A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -m comment --comment "Accepter les requêtes DNS (port 53) depuis les VM" -j ACCEPT 
-Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : +-A INPUT -i br2 -p tcp -m multiport --dport 2049 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j ACCEPT 
--A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT +-A INPUT -i br2 -p tcp -m multiport --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j ACCEPT 
-# Accepter les connexions VPN WireGuard : +-A INPUT -p tcp -s 127.0.0.1 --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j ACCEPT 
--A INPUT -p udp -m udp --dport 51510 -m conntrack --ctstate NEW -j ACCEPT +-A INPUT -p udp --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j DROP 
-Accepter les requêtes DNS (port 53) depuis les VM : +-A INPUT -p tcp --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j DROP 
--A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT +-A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -m comment --comment "Accepter les requêtes Zabbix passives (port 10050) depuis les VM" -j ACCEPT 
--A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT +-A INPUT -p icmp  --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -m comment --comment "On refuse les trop nombreux ping" -j ACCEPT 
-Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** : +-A INPUT -p icmp -m comment --comment "On refuse les trop nombreux ping" -j DROP 
--A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT +-A INPUT -m conntrack --ctstate INVALID -m comment --comment "On refuse tout le reste" -j DROP 
--A INPUT -i br2 -p tcp -m multiport --dport 111 -j ACCEPT +-A INPUT -p tcp -m tcp -m comment --comment "On refuse tout le reste" -j REJECT --reject-with tcp-reset 
--A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT +-A INPUT -m comment --comment "On refuse tout le reste" -j REJECT --reject-with icmp-port-unreachable 
--A INPUT -p udp --dport 111 -j DROP +-A FORWARD -d 192.168.10.0/24 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "Accepter les connexions établies sur le LAN" -j ACCEPT 
--A INPUT -p tcp --dport 111 -j DROP +-A FORWARD -s 192.168.10.0/24 -i br2 -m comment --comment "Accepter le trafic sortant depuis le LAN" -j ACCEPT 
-# Accepter les requêtes Zabbix passives (port 10050) depuis les VM : +-A FORWARD -i br2 -o br2 -m comment --comment "Accepter le trafic interne entre les VM" -j ACCEPT 
--A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT +-A FORWARD -d 192.168.10.5/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443,8484 -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web" -j ACCEPT 
-# On refuse les trop nombreux ping : +-A FORWARD -d 192.168.10.7/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail" -j ACCEPT 
--A INPUT -p icmp  --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT +-A FORWARD -d 192.168.10.250/32 -o br2 -p tcp -m tcp -m conntrack --ctstate NEW -m multiport --dports 8484 -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring" -j ACCEPT 
--A INPUT -p icmp -j DROP +-A INPUT -s 102.132.96.0/20 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-On refuse tout le reste : +-A INPUT -s 103.4.96.0/22 -m comment --comment      "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -m conntrack --ctstate INVALID -j DROP +-A INPUT -s 129.134.0.0/17 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset +-A INPUT -s 129.134.160.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -j REJECT --reject-with icmp-port-unreachable +-A INPUT -s 129.134.25.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# Accepter les connexions établies sur le LAN : +-A INPUT -s 129.134.26.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 192.168.10.0/24 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT +-A INPUT -s 129.134.27.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter le trafic sortant depuis le LAN : +-A INPUT -s 129.134.28.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -s 192.168.10.0/24 -i br2 -j ACCEPT +-A INPUT -s 129.134.29.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter le trafic interne entre les VM : +-A INPUT -s 129.134.30.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -i br2 -o br2 -j ACCEPT +-A INPUT -s 129.134.31.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web : +-A INPUT -s 139.223.200.130/32 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 192.168.10.5/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443,8484 -j ACCEPT +-A INPUT -s 157.240.0.0/17 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail : +-A INPUT -s 157.240.192.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 192.168.10.7/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT +-A INPUT -s 157.240.195.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring : +-A INPUT -s 157.240.196.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 192.168.10.250/32 -o br2 -p tcp -m tcp -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT +-A INPUT -s 157.240.197.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# On accepte les paquets routés du le VPN WireGuard : +-A INPUT -s 157.240.198.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -o wg0 -j ACCEPT +-A INPUT -s 157.240.199.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads : +-A INPUT -s 157.240.200.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 102.132.96.0/20 -j DROP +-A INPUT -s 157.240.201.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 103.4.96.0/22 -j DROP +-A INPUT -s 157.240.202.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.0.0/17 -j DROP +-A INPUT -s 157.240.203.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.160.0/24 -j DROP +-A INPUT -s 157.240.204.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.25.0/24 -j DROP +-A INPUT -s 157.240.205.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.26.0/24 -j DROP +-A INPUT -s 157.240.207.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.27.0/24 -j DROP +-A INPUT -s 157.240.208.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.28.0/24 -j DROP +-A INPUT -s 157.240.209.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.29.0/24 -j DROP +-A INPUT -s 157.240.210.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.30.0/24 -j DROP +-A INPUT -s 157.240.211.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 129.134.31.0/24 -j DROP +-A INPUT -s 157.240.212.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 139.223.200.130/32 -j DROP +-A INPUT -s 157.240.214.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.0.0/17 -j DROP +-A INPUT -s 157.240.215.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.192.0/24 -j DROP +-A INPUT -s 157.240.216.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.195.0/24 -j DROP +-A INPUT -s 157.240.217.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.196.0/24 -j DROP +-A INPUT -s 157.240.218.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.197.0/24 -j DROP +-A INPUT -s 157.240.22.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.198.0/24 -j DROP +-A INPUT -s 157.240.221.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.199.0/24 -j DROP +-A INPUT -s 157.240.222.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.200.0/24 -j DROP +-A INPUT -s 157.240.223.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.201.0/24 -j DROP +-A INPUT -s 157.240.224.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.202.0/24 -j DROP +-A INPUT -s 157.240.225.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.203.0/24 -j DROP +-A INPUT -s 157.240.226.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.204.0/24 -j DROP +-A INPUT -s 157.240.227.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.205.0/24 -j DROP +-A INPUT -s 157.240.228.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.207.0/24 -j DROP +-A INPUT -s 157.240.229.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.208.0/24 -j DROP +-A INPUT -s 157.240.23.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.209.0/24 -j DROP +-A INPUT -s 157.240.231.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.210.0/24 -j DROP +-A INPUT -s 157.240.232.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.211.0/24 -j DROP +-A INPUT -s 157.240.233.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.212.0/24 -j DROP +-A INPUT -s 157.240.234.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.214.0/24 -j DROP +-A INPUT -s 157.240.235.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.215.0/24 -j DROP +-A INPUT -s 157.240.236.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.216.0/24 -j DROP +-A INPUT -s 157.240.237.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.217.0/24 -j DROP +-A INPUT -s 157.240.238.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.218.0/24 -j DROP +-A INPUT -s 157.240.239.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.22.0/24 -j DROP +-A INPUT -s 157.240.240.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.221.0/24 -j DROP +-A INPUT -s 157.240.24.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.222.0/24 -j DROP +-A INPUT -s 157.240.241.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.223.0/24 -j DROP +-A INPUT -s 157.240.242.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.224.0/24 -j DROP +-A INPUT -s 157.240.243.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.225.0/24 -j DROP +-A INPUT -s 157.240.244.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.226.0/24 -j DROP +-A INPUT -s 157.240.245.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.227.0/24 -j DROP +-A INPUT -s 157.240.247.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.228.0/24 -j DROP +-A INPUT -s 157.240.249.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.229.0/24 -j DROP +-A INPUT -s 157.240.250.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.23.0/24 -j DROP +-A INPUT -s 157.240.25.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.231.0/24 -j DROP +-A INPUT -s 157.240.251.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.232.0/24 -j DROP +-A INPUT -s 157.240.252.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.233.0/24 -j DROP +-A INPUT -s 157.240.253.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.234.0/24 -j DROP +-A INPUT -s 157.240.254.0/24 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.235.0/24 -j DROP +-A INPUT -s 157.240.26.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.236.0/24 -j DROP +-A INPUT -s 157.240.27.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.237.0/24 -j DROP +-A INPUT -s 157.240.28.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.238.0/24 -j DROP +-A INPUT -s 157.240.29.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.239.0/24 -j DROP +-A INPUT -s 157.240.30.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.240.0/24 -j DROP +-A INPUT -s 157.240.3.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.24.0/24 -j DROP +-A INPUT -s 157.240.31.0/24 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.241.0/24 -j DROP +-A INPUT -s 157.240.5.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.242.0/24 -j DROP +-A INPUT -s 157.240.6.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.243.0/24 -j DROP +-A INPUT -s 157.240.7.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.244.0/24 -j DROP +-A INPUT -s 157.240.8.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.245.0/24 -j DROP +-A INPUT -s 157.240.9.0/24 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.247.0/24 -j DROP +-A INPUT -s 162.254.207.51/32 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.249.0/24 -j DROP +-A INPUT -s 162.255.119.207/32 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.250.0/24 -j DROP +-A INPUT -s 172.67.135.213/32 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.25.0/24 -j DROP +-A INPUT -s 173.252.64.0/18 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.251.0/24 -j DROP +-A INPUT -s 179.60.192.0/22 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.252.0/24 -j DROP +-A INPUT -s 185.199.108.153/32 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.253.0/24 -j DROP +-A INPUT -s 185.199.111.153/32 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.254.0/24 -j DROP +-A INPUT -s 185.60.216.0/22 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.26.0/24 -j DROP +-A INPUT -s 198.54.117.211/32 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.27.0/24 -j DROP +-A INPUT -s 204.15.20.0/22 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.28.0/24 -j DROP +-A INPUT -s 27.124.125.189/32 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.29.0/24 -j DROP +-A INPUT -s 31.13.24.0/21 -m comment --comment      "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.30.0/24 -j DROP +-A INPUT -s 31.13.64.0/18 -m comment --comment      "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.3.0/24 -j DROP +-A INPUT -s 34.117.168.233/32 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.31.0/24 -j DROP +-A INPUT -s 37.9.175.187/32 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.5.0/24 -j DROP +-A INPUT -s 45.130.41.7/32 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.6.0/24 -j DROP +-A INPUT -s 45.64.40.0/22 -m comment --comment      "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.7.0/24 -j DROP +-A INPUT -s 45.91.92.164/32 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.8.0/24 -j DROP +-A INPUT -s 54.81.116.232/32 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 157.240.9.0/24 -j DROP +-A INPUT -s 61.9.242.43/32 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 162.254.207.51/32 -j DROP +-A INPUT -s 64.225.91.73/32 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 162.255.119.207/32 -j DROP +-A INPUT -s 66.220.144.0/20 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 172.67.135.213/32 -j DROP +-A INPUT -s 69.171.224.0/19 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 173.252.64.0/18 -j DROP +-A INPUT -s 74.119.76.0/22 -m comment --comment     "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 179.60.192.0/22 -j DROP +-A INPUT -s 89.223.68.248/32 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 185.199.108.153/32 -j DROP +-A FORWARD -i br2 -m comment --comment "Rejeter tout le reste" -j REJECT --reject-with icmp-port-unreachable 
--A INPUT -s 185.199.111.153/32 -j DROP +-A FORWARD -o br2 -m comment --comment "Rejeter tout le reste" -j REJECT --reject-with icmp-port-unreachable
--A INPUT -s 185.60.216.0/22 -j DROP +
--A INPUT -s 198.54.117.211/32 -j DROP +
--A INPUT -s 204.15.20.0/22 -j DROP +
--A INPUT -s 27.124.125.189/32 -j DROP +
--A INPUT -s 31.13.24.0/21 -j DROP +
--A INPUT -s 31.13.64.0/18 -j DROP +
--A INPUT -s 34.117.168.233/32 -j DROP +
--A INPUT -s 37.9.175.187/32 -j DROP +
--A INPUT -s 45.130.41.7/32 -j DROP +
--A INPUT -s 45.64.40.0/22 -j DROP +
--A INPUT -s 45.91.92.164/32 -j DROP +
--A INPUT -s 54.81.116.232/32 -j DROP +
--A INPUT -s 61.9.242.43/32 -j DROP +
--A INPUT -s 64.225.91.73/32 -j DROP +
--A INPUT -s 66.220.144.0/20 -j DROP +
--A INPUT -s 69.171.224.0/19 -j DROP +
--A INPUT -s 74.119.76.0/22 -j DROP +
--A INPUT -s 89.223.68.248/32 -j DROP +
-# Rejeter tout le reste : +
--A FORWARD -i br2 -j REJECT --reject-with icmp-port-unreachable +
--A FORWARD -o br2 -j REJECT --reject-with icmp-port-unreachable+
 COMMIT COMMIT
 </code> </code>
Ligne 301: Ligne 328:
  
 <code bash> <code bash>
-Accepter le trafic basique : ICMP, boucle locale et connexionx établies, en entrée +*filter 
--A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT +-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED  -m comment --comment "Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée-j ACCEPT 
--A INPUT -i lo -j ACCEPT +-A INPUT -i lo  -m comment --comment "Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée" -j ACCEPT 
--A INPUT ! -i lo -d ::1/128 -j REJECT +-A INPUT ! -i lo -d ::1/128  -m comment --comment "Accepter le trafic basique ICMP, boucle locale et connexions établies, en entrée" -j REJECT 
-Accepter le SSH +-A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -m comment --comment "Accepter le SSH" -j ACCEPT 
--A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT +-A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -m comment --comment "Accepter le SSH-j ACCEPT 
--A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT +-A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -m comment --comment "Accepter le tunnel SSH vers le serveur web-01 sur le port 52365" -j ACCEPT 
-Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : +-A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -m comment --comment "Accepter les requêtes DNS (port 53) depuis les VM" -j ACCEPT 
--A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT +-A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -m comment --comment "Accepter les requêtes DNS (port 53) depuis les VM" -j ACCEPT 
-# Accepter les connexions VPN WireGuard : +-A INPUT -i br2 -p tcp -m multiport --dport 2049 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur-j ACCEPT 
--A INPUT -p udp -m udp --dport 51510 -m conntrack --ctstate NEW -j ACCEPT +-A INPUT -i br2 -p tcp -m multiport --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j ACCEPT 
-Accepter les requêtes DNS (port 53) depuis les VM : +-A INPUT -p tcp -s ::1/128  --dport 111  -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j ACCEPT 
--A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT +-A INPUT -p udp --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j DROP 
--A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT +-A INPUT -p tcp --dport 111 -m comment --comment "Bloquer les requêtes rpcbind/portmap en entrée depuis l'extérieur" -j DROP 
-Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** : +-A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -m comment --comment "Accepter les requêtes Zabbix passives (port 10050) depuis les VM" -j ACCEPT 
--A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT +-A INPUT -p icmpv6 --icmpv6-type parameter-problem -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
--A INPUT -i br2 -p tcp -m multiport --dport 111 -j ACCEPT +-A INPUT -p icmpv6 --icmpv6-type echo-request -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
--A INPUT -p tcp -s ::1/128  --dport 111 -j ACCEPT +-A INPUT -p icmpv6 --icmpv6-type echo-reply -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
--A INPUT -p udp --dport 111 -j DROP +-A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
--A INPUT -p tcp --dport 111 -j DROP +-A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
-# Accepter les requêtes Zabbix passives (port 10050) depuis les VM : +-A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
--A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT +-A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -m comment --comment "On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6" -j ACCEPT 
-# On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6 : +-A INPUT  -p icmpv6 --icmpv6-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -m comment --comment "On refuse les trop nombreux ping" -j ACCEPT 
--A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT +-A INPUT  -p icmpv6 --icmpv6-type echo-request -m comment --comment "On refuse les trop nombreux ping" -j DROP 
--A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT +-A INPUT -m conntrack --ctstate INVALID -m comment --comment "On refuse tout le reste en entrée" -j DROP 
--A INPUT -p icmpv6 --icmpv6-type echo-reply -j ACCEPT +-A INPUT -m comment --comment "On refuse tout le reste en entrée" -j REJECT 
--A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::/64 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "Accepter les connexions établies sur le LAN" -j ACCEPT 
--A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT +-A FORWARD -s 2a01:4f8:231:aa6::/64 -i br2 -m comment --comment "Accepter le trafic sortant depuis le LAN" -j ACCEPT 
--A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT +-A FORWARD -i br2 -o br2  -m comment --comment "Accepter le trafic interne entre les VM" -j ACCEPT 
--A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::5/128 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443,1935  -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web (inutile, mais au cas où)" -j ACCEPT 
-# On refuse les trop nombreux ping : +-A FORWARD -d 2a01:4f8:231:aa6::7/128 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25  -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail (inutile, mais au cas où)" -j ACCEPT 
--A INPUT  -p icmpv6 --icmpv6-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::250/128 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 8484  -m comment --comment "Accepter les paquets redirigés vers des ports particuliers pour Zabbix tcp 8484 vers le serveur monitoring (inutile, mais au cas où)" -j ACCEPT 
--A INPUT  -p icmpv6 --icmpv6-type echo-request -j DROP +-A INPUT -s 2620:0:1c00::/40 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# On refuse tout le reste en entrée : +-A INPUT -s 2620:10d:c090::/44 -m comment --comment  "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -m conntrack --ctstate INVALID -j DROP +-A INPUT -s 2a03:2880::/32 -m comment --comment      "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -j REJECT +-A INPUT -s 2a03:2887:ff02::/47 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# Accepter les connexions établies sur le LAN : +-A INPUT -s 2a03:2887:ff19::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 2a01:4f8:231:aa6::/64 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT +-A INPUT -s 2a03:2887:ff1b::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter le trafic sortant depuis le LAN : +-A INPUT -s 2a03:2887:ff1c::/46 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -s 2a01:4f8:231:aa6::/64 -i br2 -j ACCEPT +-A INPUT -s 2a03:2887:ff23::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter le trafic interne entre les VM : +-A INPUT -s 2a03:2887:ff25::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -i br2 -o br2 -j ACCEPT +-A INPUT -s 2a03:2887:ff27::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web : +-A INPUT -s 2a03:2887:ff28::/46 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 2a01:4f8:231:aa6::5 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT +-A INPUT -s 2a03:2887:ff2f::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail : +-A INPUT -s 2a03:2887:ff30::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 2a01:4f8:231:aa6::7 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT +-A INPUT -s 2a03:2887:ff35::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-Accepter les paquets redirigés vers des ports particuliers pour Zabbix tcp 8484 vers le serveur monitoring : +-A INPUT -s 2a03:2887:ff37::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A FORWARD -d 2a01:4f8:231:aa6::250 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT +-A INPUT -s 2a03:2887:ff38::/46 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
-# On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads : +-A INPUT -s 2a03:2887:ff3f::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2620:0:1c00::/40 -j DROP +-A INPUT -s 2a03:2887:ff40::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2620:10d:c090::/44 -j DROP +-A INPUT -s 2a03:2887:ff43::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2880::/32 -j DROP +-A INPUT -s 2a03:2887:ff44::/47 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff02::/47 -j DROP +-A INPUT -s 2a03:2887:ff48::/46 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff19::/48 -j DROP +-A INPUT -s 2a03:2887:ff4d::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff1b::/48 -j DROP +-A INPUT -s 2a03:2887:ff4e::/47 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff1c::/46 -j DROP +-A INPUT -s 2a03:2887:ff50::/47 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff23::/48 -j DROP +-A INPUT -s 2a03:2887:ff52::/48 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff25::/48 -j DROP +-A INPUT -s 2a03:2887:ff58::/47 -m comment --comment "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff27::/48 -j DROP +-A INPUT -s 2c0f:ef78:3::/48 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff28::/46 -j DROP +-A INPUT -s 2c0f:ef78:5::/48 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff2f::/48 -j DROP +-A INPUT -s 2c0f:ef78:6::/48 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff30::/48 -j DROP +-A INPUT -s 2c0f:ef78:9::/48 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff35::/48 -j DROP +-A INPUT -s 2c0f:ef78:d::/48 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff37::/48 -j DROP +-A INPUT -s 2c0f:ef78:e::/47 -m comment --comment    "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff38::/46 -j DROP +-A INPUT -s 2c0f:ef78:11::/48 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff3f::/48 -j DROP +-A INPUT -s 2c0f:ef78:12::/48 -m comment --comment   "Meta/Facebook/Instagram/Threads Adios!" -j DROP 
--A INPUT -s 2a03:2887:ff40::/48 -j DROP +-A FORWARD -i br2 -m comment --comment "Rejeter tout le reste" -j REJECT 
--A INPUT -s 2a03:2887:ff43::/48 -j DROP +-A FORWARD -o br2 -m comment --comment "Rejeter tout le reste" -j REJECT
--A INPUT -s 2a03:2887:ff44::/47 -j DROP +
--A INPUT -s 2a03:2887:ff48::/46 -j DROP +
--A INPUT -s 2a03:2887:ff4d::/48 -j DROP +
--A INPUT -s 2a03:2887:ff4e::/47 -j DROP +
--A INPUT -s 2a03:2887:ff50::/47 -j DROP +
--A INPUT -s 2a03:2887:ff52::/48 -j DROP +
--A INPUT -s 2a03:2887:ff58::/47 -j DROP +
--A INPUT -s 2c0f:ef78:3::/48 -j DROP +
--A INPUT -s 2c0f:ef78:5::/48 -j DROP +
--A INPUT -s 2c0f:ef78:6::/48 -j DROP +
--A INPUT -s 2c0f:ef78:9::/48 -j DROP +
--A INPUT -s 2c0f:ef78:d::/48 -j DROP +
--A INPUT -s 2c0f:ef78:e::/47 -j DROP +
--A INPUT -s 2c0f:ef78:11::/48 -j DROP +
--A INPUT -s 2c0f:ef78:12::/48 -j DROP +
-# Rejeter tout le reste : +
--A FORWARD -i br2 -j REJECT +
--A FORWARD -o br2 -j REJECT+
 COMMIT COMMIT
 </code> </code>
tech/hypervisor-01.1699210306.txt.gz · Dernière modification : 05/11/2023 19:51 de LibertAdmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International


  • Afficher la page
  • Anciennes révisions
  • Exporter en PDF
  • Exportation ODT
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site