Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 140-pare-feu-fail2ban:start [le 20/06/2025 à 14:44] – ↷ Page déplacée et renommée de 130netfilter:60-pare-feu-fail2ban à 140-pare-feu-fail2ban:start prof
+++ 140-pare-feu-fail2ban:start [le 04/10/2025 à 16:01] (Version actuelle) – [Le banc de test] prof
@@ Ligne 23: / Ligne 23: @@
 Les deux supportent désormais IPv6 et Nftables ce qui vaut donc la peine que l'on s'y intéresse de près.
 ===== Le banc de test =====
-Notre machine virtuelle va subir quelques agressions
+Notre machine virtuelle va subir quelques agressions. Il s'agit d'une machine virtuelle animée par Debian Trixie (Encore «testing» à l'heure où ces lignes sont rédigées), équipée des logiciels suivants:
+  * Apache2 pour le serveur http/https,
+  * Postfix pour smtp,
+  * Dovecot pour imap, sasl,
+  * nftables pour la manipulation de netfilter,
+  * fail2ban pour le filtrage adaptatif, objectif de cette manipulation.
+La configuration réseau avec la double pile IPv4 et IPv6.
+Le pare-feu de base est configuré comme suit:
+<html><pre class="code">
+table inet filter {
+	chain input_ipv4 {
+		icmp type echo-request limit rate 5/second burst 5 packets accept
+	}
+	chain input_ipv6 {
+		icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
+		icmpv6 type echo-request limit rate 5/second burst 5 packets accept
+	}
+	chain input {
+		type filter hook input priority filter; policy drop;
+		iifname "lo" accept
+		ct state vmap { invalid : drop, established : accept, related : accept }
+		meta protocol vmap { ip : jump input_ipv4, ip6 : jump input_ipv6 }
+		tcp dport { 22, 80, 443 } accept
+	}
+}
+</pre></html>
+{{indexmenu>.#1}}