Quelques notes pour avoir un serveur fonctionnel. C'est basé sur la gamme Kimsufi chez OVH.

On va utiliser un préréglage déjà définie (workstation), il faut rajouter ces lignes dans le fichier /etc/rc.conf.

[...]
firewall_enable="YES"
firewall_quiet="YES"
firewall_type="workstation"
firewall_allowservices="any"
firewall_myservices="22/tcp 25/tcp 80/tcp 443/tcp"
[...]

La dernière ligne permet l'ouverture de certains ports (il faut consulter le fichier /etc/services, afin de connaître quels sont ces services).

On peut désormais activer ce parefeu :

service ipfw start

blacklistd(8) permet de bloquer le « brute force », pour SSH, il faut rajouter cette ligne dans le fichier /etc/rc.conf ¹⁾

[...]
sshd_flags="-o UseBlacklist=yes"
[...]

Puis on rajoute ce démon supplémentaire

[...]
blacklistd_enable="YES"
blacklistd_flags="-r"

Les tentatives de connexion autorisées sont situées dans le fichier /etc/blacklistd.conf.

Pour que ce démon sache que nous utilisons le parefeu ipfw, on va créer le fichier /etc/ipfw-blacklist.rc

echo "ifpw_offset=4000" > /etc/ipfw-blacklist.rc

On peut relancer (ou activer) les services qui en ont besoin.

service sshd restart
service ipfw restart
service blacklistd start

Au bout d'un certain temps, on peut « regarder » quelles sont les règles qui sont appliquées

ipfw show
[...]
02022  385  22996 deny tcp from table(port22) to any 22
[...]

Si on a une ligne qui montre la présence d'une table, c'est que blacklistd(8) travaille, il a bloqué un attaquant !

On peut voir le contenu de cette table

ipfw table port22 list

Ou

blacklistctl dump -b