Le 20 juin 2015 à 22:00, Jean-Michel OLTRA <jm.oltra.antis...@espinasse.net> a écrit :
> Le samedi 20 juin 2015, Philippe Gras a écrit... > > > >> Whouah ! Génial. Donc, je peux dropper tout le monde à l’exception de >> l’IP de mon serveur, de son IP locale (127.0.0.1) et de la plage IP >> sur laquelle mon FAI m’envoie ? > > Je ne comprends pas trop ce que tu veux dire. Mais : > > - Si le serveur sql et le serveur ouèbe (Nginx) sont sur la même > machine, tu mets le bind-address de mysql sur 127.0.0.1, et tu donnes > les grant de tes utilisateurs de tes sites ouèbe sur leUser@localhost. > Et tu peux dropper tout le monde. Ce qui ne devrait même pas, en > théorie, être nécessaire puisque l'accès n'est pas autorisé. Mais qui > va soulager le serveur sql. > > Avant: =========================================================== Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 127.0.0.1:17600 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 127.0.0.1:17603 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:53026 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:32338 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:45444 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:215 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:24940 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:24263 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:31851 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:23060 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:64786 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:57477 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:45752 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:49368 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:62817 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:53576 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:58913 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:50822 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14773 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:5103 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14316 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:60768 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:5372 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:63273 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:10811 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:62129 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:9430 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:23597 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:61150 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:39552 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:61192 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:58577 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:13750 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:44279 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:47996 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37056 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:33076 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:47987 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:55933 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:23570 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:64358 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:59809 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:42917 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:6310 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37447 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:45322 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:59556 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:57497 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:65501 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:33033 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:27291 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:11142 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:51702 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:50690 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:20311 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:57683 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:58525 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:21925 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:6103 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:42661 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37353 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:52953 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:25283 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:24478 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:41997 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:20757 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:26290 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:45632 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:32520 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:31246 SYN_RECV - tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14002 SYN_RECV - tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 31573/memcached tcp 0 0 0.0.0.0:22220 0.0.0.0:* LISTEN 17140/sshd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 8532/nginx tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1042/proftpd: (acce tcp 0 0 x.xxx.xxx.xx:53 0.0.0.0:* LISTEN 16528/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 16528/named tcp 0 0 0.0.0.0:4598 0.0.0.0:* LISTEN 5294/monit tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 15593/master tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 16528/named # Autoriser mysqld iptables -t filter -A INPUT -p tcp -s localhost --dport 3306 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -s localhost --dport 3306 -j ACCEPT echo "MySqld OK » Je suis allé vérifier sur un site, ça ne perturbe (évidemment) pas la visite :-) Après: =========================================================== Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 127.0.0.1:17600 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 127.0.0.1:17603 0.0.0.0:* LISTEN 12075/dropbox tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 31573/memcached tcp 0 0 0.0.0.0:22220 0.0.0.0:* LISTEN 17140/sshd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 8532/nginx tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1042/proftpd: (acce tcp 0 0 x.xxx.xxx.xx:53 0.0.0.0:* LISTEN 16528/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 16528/named tcp 0 0 0.0.0.0:4598 0.0.0.0:* LISTEN 5294/monit tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 15593/master tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 16528/named Merci à tous pour vos précieuses lumières :-) !!!!! Maintenant, j’ai tout le reste à vérifier et éventuellement à réécrire au propre… J’aimerais bien savoir si je peux appliquer le même traitement à Named ou Memcached, par exemple. Ph. Gras -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/0aceccd2-ade8-486c-8967-c57f20c28...@worldonline.fr
