mon iptables

ou :

les joies de l'auto-hébergement




Orange ayant décidé de ne plus héberger les sites de ses clients à partir du 05 septembre 2023, il m'a rapidement fallu trouver une solution ; je décidai de me lancer dans l'aventure de l'auto-hébergement. Je louai une IP (publique) fixe auprès d'Orange (18 €/mois), un nom de domaine auprès d'OVH (9 €/an). Je recyclai un Mac-mini (intel) datant de 2006 gonflé à 2 go de RAM (!) sur lequel j'installai Slackware-15.0_32-bits sans environnement graphique (ni x ni xap), avec mise à jour du kernel et de tous les logiciels -dont Apache-, bien sûr.
Au début, faisant confiance au pare-feu de ma Livebox réglé sur "standard", aidé de GoAccess mais surtout de grep sed tail et Vi, j'examinais les logs (error_log et access_log), et bannissais les IP agressives en insérant un petit paragraphe dans /etc/httpd/httpd.conf :
<Directory "/srv/httpd/htdocs">
    Options Indexes FollowSymLinks
    AllowOverride None
  <RequireAll>
Require all granted
Require not ip 105.106.107.108
Require not ip 201.202.203.204
etc
  </RequireAll>
</Directory>
Cette manière de faire protégeait mon site, mais non mon serveur, puisque je retrouvais les IP malveillantes dans les logs. Je décidai alors de déclencher, en aval du pare-feu de ma Livebox, iptables, le pare-feu du noyau Linux de mon serveur, dont voici la blacklist que je mets à jour quotidiennement ; et je supprimai la blacklist d'Apache, qui consommait plus de RAM que celle d'iptables.

Au bout de quelques semaines, ma swap se remplissait, et mon petit serveur ralentissait. J'ai commencé par diminuer sa "swappiness" de 60 à 40, ce qui permit à ma swap de rester vide plus longtemps ; ensuite, je décidai de démarrer zram en lui affectant 90% de mes 2 go de RAM, afin de loger tout mon site dans la "mémoire cache".

En un an d'auto-hébergement de ce serveur, j'ai dû essuyer trois pannes de réseau filaire (ADSL), qui ont duré 5, 1, et 3 semaines ; le retentissement sur mon référencement fut ... catastrophique. Voici -d'après moi- le principal écueil de l'auto-hébergement, qui néanmoins m'a beaucoup appris.
Enfin, comme mon expérience reste modeste, je lirai avec intérêt les bons conseils :


mail (à recopier)


mon Linux


accueil