Bonjour à tous,  
 
 
J'ai mis en place un serveur web (nginx) sur un raspberry.
Le serveur web (hébergement documents et photos persos) est destiné à un nombre très limité de personnes.
Au début, j'avais mis un .htaccess mais devant le nombre répété d'attaque visible dans les log, je me dis que finalement il vaut mieux passer directement par une configuration d'iptable.
 
J'ai donc essayé de configurer çà, mais je butte totalement sur le port 80
J'ai essayé directement en faisant çà avec une ip publique et en voyant que ca ne fonctionnait pas, j'ai testé avec les ip de mon lan mais toujours sans succès.
 
Ce que je comprends pas, c'est que quand je fais la même chose sur le port 26457 (le port ssh sur lequel j'administre mon raspberry), ca fonctionne parfaitement bien.    
 
 

 
Meme si je mets un 192.168.0.0/24, çà ne fonctionne pas (j'ai testé avec 3 pc sur le reseau local)
 
Une petit idée de ce qui ne va pas ?  

1. Décris ton architecture réseau
2. Fournit l'ensemble des règles iptables
  iptables -t nat -L -v -n
  iptables -t filter -L -v -n
3. Décris comment tu testes

Tu parles de quel type d'attaque ?

Les attaques, c'est du bruteforce sur le htaccess.
 
1 - mon reseau c'est :
deux pc + 1 raspberry en ethernet derrière une freebox, + 2 en wifi  
 
2 - Pour mes règles iptables, Il n'y en a plus actuellement.
Je ne comprenais pas trop d'ou venait le problème donc j'ai tout vidé pour tester différentes config iptables (je n'avais pas grand chose de toute façon)
Il me semble que la dernière chose que j'ai testé c'est :
 
 
INPUT & FORWARD POLICY en DROP
OUTPUT POLICY en ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -s 192.168.0.58 -j ACCEPT
 
Ce que je ne comprend pas c'est que ca fonctionne pour mon port SSH.
J'ai l'impression qu'il y a un autre port à débloquer en plus du 80 (j'avais même essayé d'ouvrir le 443 aussi (que je n'utilise pas) mai sans succès )
 
 
3 - Pour le test tout simplement : http://monipPublique (82.*.*.*)
(La redirection des ports fonctionne)
 
edit :
j'ai pas accès au serveur là (il est débranché )
je te donne les règles précises restantes en rentrant  

iptables ne servira à rien tout seul. Couple le à fail2ban.

Donc y a que ton adresse IP locale qui est censée y accéder ?
parce que là c'est ce que ça dit. Bref, il faut toute les règles pour statuer
 

HTTP = port 80
HTTPS = port 443
faut vérifier si le port est bien configuré sur la freebox vers la bonne adresse, est-ce que tu l'as bien rebooté et tester depuis internet (pas depuis le réseau local)

En fait, j'avais fail2ban mais même avec çà les attaques sont incessantes, puisqu'elles utilisent à chaque fois des ip différentes.
 
L'idée c'est donc de virer le htaccess et d'ouvrir le serveur seulement aux ip autorisées.
De cette façon, à part passer par les ip autorisées, impossible d'y accéder
 

Oui, c'est çà.
Pour tester ma config, j'autorise seulement mon ip locale à y accéder (mais çà ne fonctionne pas, alors qu'en autorisant la même ip au service ssh ca fonctionne)
 
 
 
 

Oui, c'est bien configuré.
Si je supprime les règles iptables du raspberry, j'ai accès au serveur de l'ip locale et de l'ip publique.
 
Bref, je posterais le peu qu'il me reste de règles iptables ce soir

 
Si il n'y a que ton IP@ locale qui doit y accéder, pourquoi tu fais une redirection de port sur ta box ?

On ne s'est pas compris
L'objectif c'est que le serveur soit accessible à 1 seule ip publique (auparavant il l'était à tout le monde)
J'ai donc mis mes regles iptables mais le serveur n'était plus visible du tout.
Du coup pour tester (c'est beaucoup plus facile), j'ai fais des config avec mon ip locale.
 
Quand les config avec mon ip locale fonctionneront, je suppose qu'avec une ip pulique ca fonctionnera aussi et donc je modifierai l'ip locale par l'ip publique.

ça tient mieux la route effectivement

/*iptables -t nat -L -v -n
 

 
 
  iptables -t filter -L -v -n

 
J'avais bien dis qu'il ne restait plus grand chose

dj smelz a écrit : Bon c'est résolu   Pour ceux qui passerait par ce problème dans le futur, il manque l'état de la connexion (évidemment) ...     donc rajouter tout simplement :  -m state --state NEW,ESTABLISHED,RELATED

je suis un peu étonné qu'avec uniquement les règles ci-dessus, tu aies besoin du suivi de connexion pour que ça fonctionne (c'est mieux avec certes).
Par ailleurs, ton output est étrange sur la ligne 5 : 192.168..0/24
qu'iptables te ressortes un truc comme ça... c'est très étrange...

edit: c'est pas cool de supprimer les posts comme ça ...

j'ai supprimé car en fait çà ne marche pas ...
 
J'ai écris çà précipitament dès que j'ai vu mon directory listing, mais j'ai pas du rafraichir le cache  
 
Bref retour à la case départ
 
oublie l'output, c'était dans mes tests bidons (tu sais le moment où quand rien ne marche comme tu le veux, tu finis par tester tout et nimportequoi )
 
Sinon ouep pour la ligne 5, c'est une erreur de frappe, mais de toute façon je teste principalement avec le .0.39 (et même en supprimant la ligne erronée, ca ne règle pas le problème)

Il me rend vraiment fou ce truc    
 
Lorsque je fixe une règle et que je la supprime ensuite ...
[code]
iptables -A INPUT -i eth0 -p tcp --dport 80 -s 192.168.0.58 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
[/coe]
Après sa supression, Parfois j'arrive à l'index du serveur.
 
J'ai essayé plusieurs fois, parfois çà fonctionne, parfois non.
(C'est à cause de çà que j'ai cru que çà fonctionnait hier soir )
 
J'ai tout vidé !
Sachant ce que je veux faire (uniquement au niveau du serveur web), quelle(s) règles(s) auriez-vous mise en place?

up.
 
Ca commence à me saouler

Pas la peine de remonter le topic tant qu'il est dans la première page, même si ça te saoule...
Si 192.168.0.58 est l'adresse de ton PC (pas le serveur) sur ton lan.

Par  contre comment testes-tu là ?
  - directement depuis ton lan en tapant l'adresse IP locale de ton serveur ?
  - directement depuis ton lan en tapant l'adresse IP publique et en utilisant la redirection de port ?
  - depuis internet en tapant l'adresse IP publique ?

désolé pour le up, je regardais que mes drapeaux
 
j'ai du tester les 3 solutions à chaque fois mais aucune ne fonctionnait.
C'est bon, maintenant tout est rentré dans l'ordre.
J'ai donc remis l'ip publique autorisée.
 
Merci beaucoup
Et le mieux dans tout çà, c'est que je comprends la config
 
Par contre, une petite question par rapport aux méthodes de test :
 
Je suis sur mon LAN, je tape mon ip publique dans le browser web, comment ce fait-il que je n'y accède pas (même en ayant rajouté mon ip publique dans les input ACCEPT)?

Alors que si je tape l'ip locale du serveur dans le browser, çà fonctionne.
 
iptables ne me reconnait donc pas par mon ip publique et pas non plus par mon ip locale  

Et donc quelle config fonctionne ?
Histoire que ça puisse aiguiller d'autre personne

Problème au niveau de la box qui n'accepte pas les flux LAN --- box (redirection vers lan) ---  LAN