Bonjour à toutes et à tous,
suite à une attaque, j'ai restreint les accès sur le port 80 de mon
serveur avec Iptables :
===================================================================
~# iptables -L INPUT -nvx
Chain INPUT (policy DROP 7178 packets, 2268524 bytes)
pkts bytes target prot opt in out
source destination
9 774 DROP tcp -- * *
0.0.0.0/0 XXX.XXX.XXX tcp dpt:80 STRING match
"GET /w00tw00t.at." ALGO name bm TO 70
40 9636 DROP tcp -- * *
0.0.0.0/0 XXX.XXX.XXX tcp dpt:80 STRING match
"Host: XXX.XXX.XXX" ALGO name bm TO 600
93193 37333670 ACCEPT all -- * *
0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7530 566937 ACCEPT all -- lo *
0.0.0.0/0 0.0.0.0/0
330 26804 ACCEPT icmp -- * *
0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * *
0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4480 234832 tcp -- * *
0.0.0.0/0 0.0.0.0/0 tcp dpt:80flags: 0x02/0x02
recent: SET name: web side: source
13 780 DROP tcp -- * *
0.0.0.0/0 0.0.0.0/0 tcp dpt:80flags: 0x02/0x02
recent: UPDATE seconds: 5 hit_count: 10 name: web side: source
38 1992 DROP tcp -- * *
0.0.0.0/0 0.0.0.0/0 tcp dpt:80flags: 0x02/0x02
limit: above 3/sec burst 7 mode srcip srcmask 28
4392 230136 ACCEPT tcp -- * *
0.0.0.0/0 0.0.0.0/0 tcp dpt:80flags: 0x02/0x02
limit: avg 7/sec burst 12
37 1924 DROP tcp -- * *
0.0.0.0/0 0.0.0.0/0 tcp dpt:80flags: 0x02/0x02
===================================================================
Y a-t-il un moyen de lister les paquets rejetés pour vérifier que mes
règles sont conformes
à ce que je souhaitais faire ?
D'autant plus que le serveur virtuel que j'utilise n'est pas Apache,
mais NginX. J'ai peur que
les match string soient un peu différentes…
Je me suis servi de ressources sur le Web. Je peux vous les
communiquer en cas de besoin.
D'avance, merci pour vos lumières…
Ph. Gras
