Mettre en place par exemple un "site" web d'ouverture du/des ports.
Par exemple un vhost : https://remoteadm.mydomain.com/server1/ Mise en place :Créer un vhost sur le serveur (beaucoup mieux : créer un vhost sur un serveur tiers qui renvoie les requêtes par ProxyPass apres authentification) Ce serveur est configuré pour donner l’accès à la ressource web par user/password + 2fa
Sur le serveur de destination (donc pas le frontal plus haut mais celui concerné par la demande d'ouverture de ports):
Dans /etc/rc.local (ou equivalent en service) ipset create trusted-ip hash:net family inetiptables -A INPUT -i eth0 -d x.x.x.x -m set --match-set trusted-ip src -p tcp -m multiport --dport 22,25 -j ACCEPT iptables -A INPUT -i eth0 -d x.x.x.x -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -d x.x.x.x -p icmp -j ACCEPT iptables -A INPUT -i eth0 -d x.x.x.x -j DROP #Restoration des IPs autorisées au boot : /var/www/dummy/trusted-ip.sh cat /etc/sudoers.d/httpd apache ALL=(ALL) NOPASSWD:/usr/sbin/ipset apache ALL=(ALL) NOPASSWD:/usr/bin/echo apache ALL=(ALL) NOPASSWD:/usr/bin/sed exemple de la page index.php sur le serveur distant : cat /var/www/vpn/index.php <html> <body> IP Detection : <a href="http://checkip.dyndns.org" target="popup"onclick="window.open('http://checkip.dyndns.org/','popup','width=400,height=100'); return false;">
Verify on checkip site </a> <br> <?php $ip = $_SERVER['REMOTE_ADDR']; echo "<br>"; echo "<form method='post' action='index.php'>"; echo " <label for='fname'>IP address detected : </label>"; echo " <input type='text' id='fname' name='fname' value='$ip'>"; echo " <input type='submit' NAME='validation' value='Trust it !'>"; echo "</form>"; echo "<form method='post' action='index.php'>"; echo " <label for='fname'>IP address to remove : </label>"; echo " <input type='text' id='fname' name='fname' value=''>"; echo " <input type='submit' NAME='removing' value='Remove it !'>"; echo "</form>"; if (isset($_POST['validation'])) { $ip = $_POST['fname'];$return = exec("sudo echo 'ipset add trusted-ip '$ip >> /var/www/dummy/trusted-ip.sh");
$return = exec("sudo ipset add trusted-ip $ip 2>&1"); echo "$ip is trusted now"; } if (isset($_POST['removing'])) { $ip = $_POST['fname']; $return = exec("sudo sed -i '/$ip$/d' /var/www/dummy/trusted-ip.sh"); $return = exec("sudo ipset del trusted-ip $ip 2>&1"); echo "$ip is delete now"; } if (isset($_POST['clean'])) { $return = exec("sudo ipset flush trusted-ip 2>&1"); } echo "<br><br>"; $list = shell_exec("sudo ipset list trusted-ip"); echo nl2br($list); echo "<br>"; echo "<form method='post' action='index.php'>"; echo " <input type='submit' NAME='clean' value='Clear all !'>"; echo "</form><br>"; ?> <BR> <BR><CENTER><input type="button" value="Refresh Page" onClick="location.replace('index.php');"></CENTER>
<BR> <BR> </body> </html> C'est juste un exemple que j’utilise depuis des années.Le serveur frontal https gère les autorisations et renvoie la demande par ProxyPass au serveur concerné via la directive <Location xxx>
Un seul frontal suffit pour plusieurs serveurs : Serveur 1 : https://remoteadm.mydomain.com/serveur1/ Serveur 2 : https://remoteadm.mydomain.com/serveur2/ ... Ludo. Le 30/04/2024 à 15:34, Louis G. via FRsAG a écrit :
Filtrer les IP autorisées à se connecter, tout simplement ? :) iptables -A INPUT -s 1.2.3.4/32 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROPMouarf, je suis pas fan. Si on autorise le télétravail (mais qui fait ça en 2024 ? 🙃), alors l’IP des admins est rarement fixe, donc ça impose de monter un VPN pour passer par l’IP du bureau. Et quitte à monter un VPN, autant ne plus exposer le SSH sur Internet. Tu peux éventuellement restreindre à des CIDR genre ceux des BOFS, mais faut le maintenir (et ça empêche pas tous les scans). <Avis perso (ou pavé dans la mare ?) > De toute façon le LAN admin isolé d’Internet, ça devrait faire partie des pratiques de base appliquées en 2024 😊 </avis perso> Louis _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
-- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Ce message inclut une signature numérique. Il certifie que l'expéditeur et le contenue du message sont authentiques. Si votre logiciel de messagerie est compatible, Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte. Loi n°2000-230 du 13 mars 2000 Art. 1316, 1316-1, 1316-2, 1316-3, 1316-4 du Code civil. La présence d'un fichier joint 'smime.p7s' et/ou 'OpenPGP_signature.asc' (fichier signature) indique que votre client messagerie n'est pas compatible. ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
OpenPGP_signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/