Le Mercredi 10 Avril 2002 13:49, vous avez écrit : > connecté sur internet par ASDL ( vous l'aurez compris après mon > dernier message ), j'ai des problèmes avec mon serveur Apache qui est > victime de DOS (Deny Of Service ) régulièrement à cause de Nimbda ( > aurthografe incertaine ) qui affecte beaucoup de machines sous > windaube et qui m'envoient des requettes sur mon serveur Apache. Pour > l'instant, la seule solution que j'ai trouvée est de désactiver ce > service mais je viens de réussir à installer Netfilter et j'ai une > question qui est en rapport pour les pros du FIREWALLing : > > comment refuser les requêtes issues de Nimbda tout en me permettant > de travailler avec mon serveur Apache ?
Bon, moi je suis pas un pro du firewalling (mais vraiment pas, alors), mais pour ce que j'en sais, NetFilter ne peut pas agir sur le *contenu* d'un paquet. Or, c'est justement ce qui nous intéresse ici (l'URL foireuse de Nimda est *dans* le paquet, qui est par ailleurs normal). Du coup, c'est au niveau applicatif qu'il faut mettre un filtre. Ma première idée était d'utiliser un reverse proxy pour filtrer les URL à coups de regexp, mais en cherchant avec Google, j'ai trouvé des soluces plus simples et tout aussi efficaces : * La première consiste à mettre une règle dans Apache (avec mod_rewrite) qui, si elle est activée, va actionner un script qui va mettre une règle de firewall pour bloquer le vilain pabô qui a pas patché son IIS. Explications à <http://www.leekillough.com/robots.html#ipchains>. C'est un peu de la bidouille et il faut l'adapter à NetFilter mais ça semble suffisant... * La seconde, plus élégante, est un module Apache dédié au blocage des vers en tout genre (dont Nimda) : mod_antihak <http://apantihak.sourceforge.net/>. Celui-ci bloque les requêtes avant qu'elles soient traitées ou logguées par Apache, mais n'inscrit pas les machines dans le firewall. En revanche, ta bande passante et tes logs sont sauvegardés... Voilà, voilà, j'espère que ça pourra en aider quelques-uns... PS : au fait, oui, très bonne idée la conf sur les regexp. Je vote pour ;-) +++ -- [ Jacques Caruso <[EMAIL PROTECTED]> Développeur PHP ] [ Monaco Internet http://monaco-internet.mc/ ] [ Tél : (+377) 93 10 00 43 Clé PGP : 0x41F5C63D ] [ « Trust the Computer. The Computer is your friend. » -- Paranoia RPG ] Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
