Le 20/06/2015 00:58, Philippe Gras a écrit :
Le 20 juin 2015 à 00:32, Guillaume <list-deb...@gwilhom.fr
<mailto:list-deb...@gwilhom.fr>> a écrit :
Si j'ai bien lu tu laisses passer le trafic MySQL pour tout le monde
avant de logger.
Oui, en effet. Ce n’est peut être pas une bonne chose, mais est-ce
qu’on n’est pas
obligé de faire comme ça de toute façon pour accéder aux données des
sites sur le
port 80 ? Je n’en sais fichtre rien !
Vous pouvez ajouter l'option '-v' à iptables pour voir les compteurs
iptables -nvL
Oui, et bizarrement et contrairement à ce que paraît indiquer netstat,
aucun paquet
n’est filtré sur le port 3306. Ce qui me ramène d’ailleurs au problème
précédent.
[...]
Je lis plus facilement les commandes iptables, mais comme quelqu'un te
l'a fait remarquer les règles ont l'air un peu brouillon.
Très tôt, tu as cette règle dans la section INPUT :
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Du coup j'ai peur qu'il n'y ait pas que mysql qui soit accessible depuis
l'extérieur (hors blocage fail2ban)
Pour un script iptables :
1) politique par défaut en DROP
2) on accepte au cas par cas en sécurisant au maximum
3) On REJECT tout le reste avec éventuellement des logs.
Samuel.
