Commandée le 11/05/06, reçue le 10/06/06. Presque 1 mois ! Mais je suis quand même bien satisfait du résultat.
L'installation de la bestiole prend 10 minutes en commençant par choisir le système d'exploitation puis le partitionnement du disque dur ensuite le reste est automatisé.
[image:1603 size='thumbnail']
[image:1604 size='thumbnail']
J'ai du refaire l'installation car je me suis rendu compte un peu trop tard que j'avais oublié la partition de swap 
Voici le détail du matériel contenu dans la boite :
Un script repompé et modifié (assoupli) trouvé sur le forum http://dedibox-news.com. Merci à l'auteur d'origine, Flav.
RSS#!/bin/sh
################################################
# #
# Script de Firewall de base #
# #
# Flav #
# #
###############################################
#############
# Variables #
############
IPTABLES=/sbin/iptables
IF_EXT=eth0
# IP_SSH=xx.xx.xx.xx
###################
# Vide les tables #
##################
${IPTABLES} -t mangle -F
${IPTABLES} -t nat -F
${IPTABLES} -F
${IPTABLES} -t mangle -X
${IPTABLES} -t nat -X
${IPTABLES} -X
${IPTABLES} -Z
#####################
# Regles par defaut #
####################
## ignore_echo_broadcasts, TCP Syncookies, ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
## Police par defaut
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT DROP
${IPTABLES} -P FORWARD DROP
## Loopback accepte
${IPTABLES} -A FORWARD -i lo -o lo -j ACCEPT
${IPTABLES} -A INPUT -i lo -j ACCEPT
${IPTABLES} -A OUTPUT -o lo -j ACCEPT
## REJECT les fausses connex pretendues s'initialiser et sans syn
${IPTABLES} -A INPUT -p tcp ! --syn -m state --state NEW,INVALID -j REJECT
####################
# Regles speciales #
###################
### Creation des chaines
${IPTABLES} -N SPOOFED
${IPTABLES} -N SERVICES
### Interdit les paquets spoofés
${IPTABLES} -A SPOOFED -s 127.0.0.0/8 -j DROP
${IPTABLES} -A SPOOFED -s 169.254.0.0/12 -j DROP
${IPTABLES} -A SPOOFED -s 172.16.0.0/12 -j DROP
${IPTABLES} -A SPOOFED -s 192.168.0.0/16 -j DROP
${IPTABLES} -A SPOOFED -s 10.0.0.0/8 -j DROP
### INPUT autorisés
### ICMP
## Ping (*)
${IPTABLES} -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
### TCP
## SSH (*)
${IPTABLES} -A SERVICES -p tcp --dport 22 -j ACCEPT
## HTTP
${IPTABLES} -A SERVICES -p tcp --dport 80 -j ACCEPT
#################################
# Ports ouverts sur le firewall #
################################
${IPTABLES} -A OUTPUT -j ACCEPT
${IPTABLES} -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
${IPTABLES} -A INPUT -j SPOOFED
${IPTABLES} -A INPUT -i ${IF_EXT} -j SERVICESJ'ai ajouté de quoi autoriser le port 80 en entrée et j'ai autorisé les connexions sur le port 22 depuis n'importe quelle ip.
Dernièrement en me baladant sur le site http://www.spews.org/ j'ai trouvé un petit script pour empêcher une bonne liste de pas moins de 14000 hôtes référencés comme serveurs de spam. Je l'ai modifié un poil pour qu'il interdise tout accès de cette liste de machine.
lynx -dump -source http://www.spews.org/spews_list_level1.txt \
| awk '{print $1}' | egrep ^[0-9][0-9] \
> spammers-list && echo "Injection du fichier"
while read SPAMMER ; do
${IPTABLES} -A INPUT -j DROP -s $SPAMMER;
done < spammers-listLe script d'origine (sur cette page) permet de bloquer les ip sur le port 25 (smtp).
