mon iptables





Orange ayant décidé de ne plus héberger les sites de ses clients à partir du 05 septembre 2023, il m'a rapidement fallu trouver une solution ; je décidai de me lancer dans l'aventure de l'auto-hébergement. Je louai une IP (publique) fixe auprès d'Orange (18 €/mois), un nom de domaine auprès d'OVH (9 €/an). Je recyclai un Mac-mini (intel) datant de 2006 doté de 1,5 mo de RAM (!) sur lequel j'installai Slackware-15.0_32-bits sans environnement graphique (ni x ni xap), avec mise à jour du kernel et de tous les logiciels -dont Apache-, bien sûr.
Au début, faisant confiance au pare-feu de ma Livebox réglé sur "standard", aidé de GoAccess mais surtout de grep sed tail et Vi, j'examinais les logs (error_log et access_log), et bannissais les IP agressives en insérant un petit paragraphe dans /etc/httpd/httpd.conf :
<Directory "/srv/httpd/htdocs">
    Options Indexes FollowSymLinks
    AllowOverride None
  <RequireAll>
Require all granted
Require not ip 105.106.107.108
Require not ip 201.202.203.204
etc
  </RequireAll>

</Directory>
Cette manière de faire protégeait mon site, mais non mon serveur, puisque je retrouvais les IP malveillantes dans les logs. Je décidai alors de déclencher, en aval du pare-feu de ma Livebox, iptables, le pare-feu du noyau Linux de mon serveur, dont voici la blacklist que je mets à jour quotidiennement ; et je supprimai la blacklist d'Apache.
Cette blacklist (freeware) d'iptables consomme moins de RAM que la blacklist d'Apache. Comme mon expérience de cet exercice est modeste, je lirai avec intérêt les bons conseils :
mail (à recopier)
Petite astuce : au bout de quelques semaines, ma swap se remplissait, et mon petit serveur ralentissait. J'ai diminué sa "swappiness" de 60 à 50, et depuis, ma swap reste vide et mon serveur tourne parfaitement !:-).


mon Linux


accueil