Comment configurer le parefeu depuis Plesk ?

From Amen Wiki

Jump to: navigation, search

Contents


[edit] Introduction

Sur la plupart des installations avec Plesk aucune règle de pare-feu n'est activée. Votre serveur autorise les connexions entrantes comme sortantes depuis et vers n'importe quel port dès que le service correspondant est en cours d'exécution. Un outil de gestion du pare-feu est disponible depuis Plesk, mais celui-ci n'est pas configuré par défaut.

[edit] navigation

Connectez-vous à votre interface d'administration PLESK:

800px-PLESK_presentation_FR.JPG
Si vous ne connaissez pas la procédure de connexion, rendez-vous à la page: Comment se connecter à Plesk sur mon Serveur Dédié ?

Dans la rubrique Systèmes sur la gauche cliquez sur Modules:

PLESK_modules_menu_FR.JPG

Vous avez alors la liste des modules:

800px-PLESK_modules_presentation_FR.JPG

Cliquez sur l'icône PLESK_ICONE_modules_FR.JPG Firewall


Vous pouvez dès lors voir les règles prévues pour les services les plus courants propre à l’hébergement:

PLESK_modules_firewall_presentation_FR.JPG


[edit] Présentation

Voici le détail des règles de filtrage mises en place:

PLESK_modules_firewall_rule_Plesk_FR.JPG Interface d'administration plesk

Cette règle assure l'ouverture du port d'accès à Plesk. Si vous retirez cette règle de filtrage, vous ne pourrez plus accéder à Plesk.


PLESK_modules_firewall_rule_Web_FR.JPG Serveur Web(port 80)

il s' agit du port web (80) permettant l'affichage de vos site internet via le protocole HTTP. Ce port est le port par défaut utilisé par la plupart des serveurs web pour l’accès via le protocole HTTP.


PLESK_modules_firewall_rule_FTP_FR.JPG Serveur FTP (port 21 & 20)

Ce service est utilisé pour le transfert de vos données vers les espaces d’hébergement.


PLESK_modules_firewall_rule_SSH_FR.JPG Serveur SSH (port 22)

On utilise cette fonction pour accéder en ligne de commande au serveur. La connexion est sécurisée et les échanges de données via ce protocole sont cryptés. Il est utilisé pour les opérations d’administrations avancées. Il est conseillé de laisser ce port ouvert, surtout pour accéder à votre serveur si Plesk ne répond pas..


PLESK_modules_firewall_rule_SMTP_FR.JPG Serveur SMTP (port 25)

Si vous n’envoyez pas de mail avec votre serveur vous pouvez fermer ce port. (Vous pouvez également arrêter ce service en passant par système >> serveur >> Gestion des services >> symbole stop). ATTENTION le protocole SMTP est aussi utile pour recevoir les mails.


PLESK_modules_firewall_rule_POP3_FR.JPG Serveur POP3 (port 110)

Il est utilisé par les clients de messagerie pour récupérer les mails qui sont sur le serveur. Ce service peut être coupé si tous vos clients utilisent le protocole IMAP.


PLESK_modules_firewall_rule_IMAP_FR.JPG Serveur IMAP (port 143)

Il est utilisé par les clients de messageries pour lire les mails en les laissant sur le serveur distant. Les mails sont alors consultables depuis n’importe quel client de messagerie. Cela permet l’utilisation d’un webmail car les mails restent sur le serveur. Le protocole permet aussi la création de dossier pour le trier des emails.


PLESK_modules_firewall_rule_PASS_FR.JPG Changement de mot de passe du mail (port 106)

Même en fermant ce port, vous pouvez vous connecter via le port 8443, qui est le port d’accès à Plesk, à votre serveur avec un identifiant de messagerie créé sur le serveur, afin de changer votre mot de passe de la messagerie. Cela uniquement si vous avez autorisé le compte de messagerie à se connecter à panneau de contrôle plesk. Dans une politique d’accès minimaliste, il est conseillé de fermer ce port.


PLESK_modules_firewall_rule_MySQL_FR.JPG Serveur MySQL (port 3306)

Si vous avez une application qui ne s’exécute pas sur le serveur qui doit se connecter sur le serveur (si votre applicatif est répartit sur deux serveurs) vous pouvez ici autoriser l’ip du serveur de cette application à se connecter. Par ailleurs il ne faudra pas oublier de renseigner cette ip dans le champ host de la table user de mysql pour que le service autorise la connexion depuis ce serveur (% autorise n’importe qu’elle ip). Pour utilisation sur le serveur de la base de données (accès depuis les scripts interpréter sur le serveur uniquement : localhost) nous pouvons alors fermer ce port.


PLESK_modules_firewall_rule_PostreSQL_FR.JPG Serveur PostgreSQL (port 5432)

De la même façon que pour MySQL se port serra fermer si aucun applicatif distant n’a des besoins de connexion sur votre serveur. Par ailleurs ce serveur n’est la plus par du temps pas installé par défaut.


PLESK_modules_firewall_rule_Tomcat_FR.JPG Administration de tomcat (ports 9008/9080)

Vous pouvez laisser cette règle sur ouverte si vous avez TomCat d’installer sur votre serveur. Dans le cas contraire, il n’y a aucune utilité à le laisser ouvert.


PLESK_modules_firewall_rule_Samba_FR.JPG Samba (ports 137 / 138 / 139 / 445)

On active le serveur Samba pour ouvrir un partage de fichier avec des machines Windows. Il est clairement déconseillé d’utiliser ce type de service sur votre serveur.


PLESK_modules_firewall_rule_VPN_Plesk2_FR.JPG VPN Plesk (port 1194)

Plesk permet la mise en place de VPN avec votre serveur dédié. Fermez ce port si vous n’utiliser pas cette fonction.


PLESK_modules_firewall_rule_Serveur_NDD2_FR.JPG Serveur de nom de domaine (port 53)

Il est préférable d’utiliser les serveurs DNS de votre prestataire. En effet, beaucoup d’attaques peuvent être effectuées à partir de ce service. Il vous faut donc fermer ce port et désactiver le service correspondant (>> Système >> Serveur >> gestion des services >> Symbole Stop sur le service BIND DNS).


PLESK_modules_firewall_rule_Ping2_FR.JPGService de ping

Il est très utile pour savoir si votre serveur répond toujours ou si il est disponible. D’autres méthodes peuvent être aussi utilisées mais celle-ci reste la plus simple et la plus pratique. Il est mieux de laisser ce port ouvert.


PLESK_modules_firewall_rule_trafic_entrant_FR.JPG Politique système pour le trafic entrant

Cette politique est valable pour toutes les règles qui n’ont pas été listées ci-dessus. Il faut donc interdire le reste du trafic. Par défaut, cette règle est ouverte. Il faut cliquer sur la pastille pour changer l’état de la règle de filtrage.


PLESK_modules_firewall_rule_trafic_sortant_FR.JPG Politique système pour le trafic sortant

Cette politique peut rester en état ouvert, si vous fermez cette règle le mode actif du FTP ne fonctionnera plus.


PLESK_modules_firewall_rule_trafic_transfert_FR.JPG Politique pour les transferts de trafic

Elle est utile uniquement pour le routage des paquets à travers la machine. Nous laisserons fermer cette politique.

Maintenant que nous avons effectué notre configuration nous pouvons l’activer


[edit] Configuration

[edit] Ouvrir/fermer un service existant

Par défaut, le parefeu est en mode visualisation: vous pouvez voir les règles de filtrage établies mais en éditer le contenu.

Pour éditer la configuration du firewall, cliquez sur: PLESK_ICONE_FIREWALL_editer_config_FR.JPG Éditer la configuration du firewall.


A partir de cet instant, il suffit de cliquer sur la pastille PLESK_modules_firewall_pastille_verte_FR.JPG située devant le nom du service.


  • Quand la pastille est PLESK_modules_firewall_pastille_verte_FR.JPG le firewall est ouvert pour le service concerné
  • Quand la pastille est PLESK_modules_firewall_pastille_rouge_FR.JPG le firewall est fermé pour le service concerné.

En cliquant sur la pastille, vous pouvez donc ouvrir ou fermer la règle de filtrage et ainsi configurer le filtrage par IP.

Une fois que la pastille à changé de couleur, il est indispensable de cliquer sur l'icône PLESK_modules_firewall_icone_valider_FR.JPG puis cliquez sur le bouton PLESK_BUTTON_modules_firewall_Activer_FR.JPG

[edit] exemple

Dans la configuration par défaut de Plesk, le service de Ping est activé comme ceci:

PLESK_modules_firewall_rule_Ping_FR.JPG

Cela signifie que le port associé au service Ping de votre serveur est actuellement ouvert et son exploitation est autorisé pour n'importe qui sur internet.

WIN_CMD_ping_FR.JPG
En exploitant la fonction Ping sur l'adresse IP, nous obtenons un réponse du serveur


Nous cliquons tout d'abord sur l'icône PLESK_ICONE_FIREWALL_editer_config_FR.JPG Éditer la configuration du firewall

Puis nous cliquons sur la pastille PLESK_modules_firewall_pastille_verte_FR.JPG.


La règle parefeu du service Ping est désormais affiché comme suit:

PLESK_modules_firewall_rule_Ping_closed_FR.JPG

il est indispensable de cliquer sur l'icône PLESK_modules_firewall_icone_valider_FR.JPG pour afficher la page de confirmation:

800px-PLESK_PAGE_modules_firewall_rule_confirm_FR.JPG

cliquez sur le bouton PLESK_BUTTON_modules_firewall_Activer_FR.JPG

La modification est prise en compte et le port associé au service ping est fermé.


WIN_CMD_ping_closed_FR.JPG
En testant de nouveau la fonction ping, nous n'obtenons plus de réponse du serveur: le port est fermé


[edit] Ajouter une nouvelle règle de filtrage

En plus des règles pré-établie par Plesk, vous pouvez ajouter vos propres règles de filtrage depuis l'interface.

Pour cela, cliquez sur l'icône PLESK_ICONE_FIREWALL_editer_config_FR.JPG

puis cliquez PLESK_modules_firewall_ADD_rule_FR.JPG


PLESK_PAGE_modules_firewall_ADD_rule_1_FR.JPG


La construction d'une nouvelle règle s'effectue en 4 temps:


Quel sens de trafic est filtré par la règle ?

PLESK_PAGE_modules_firewall_ADD_rule_trafic_FR.JPG

  • Le trafic entrant représente les requêtes effectuées depuis Internet vers votre serveur
  • Le trafic sortant représente les requêtes effectuées depuis votre serveur vers Internet
  • Le trafic forwarding représente les requêtes en provenance d'Internet, arrivant sur votre serveur et redirigé vers Internet


Quelle action est effectuée par le filtrage ?

PLESK_PAGE_modules_firewall_ADD_rule_action_FR.JPG

  • Autoriser: La nouvelle règle autorise les requêtes dans le sens mentionné et sur le port mentionné
  • Interdire: La nouvelle règle interdit les requêtes dans le sens mentionné et sur le port mentionné


Quel port du serveur est filtré par la nouvelle règle ?

PLESK_PAGE_modules_firewall_ADD_rule_ports_FR.JPG

  • (quelque soit le port): La nouvelle règle s'applique à tous les ports du serveur non concernés par d'autres règles
  • Ajouter un port: Cela vous permet de spécifier un ou plusieurs ports précis


  • Quelles sont les adresses IP concernées par la nouvelle règles ?
    • Toutes les adresses IP (alors, tout le monde est concerné par la règle)
    • Seulement la ou les adresses IP spécifiées
Retrieved from "http://www.amenwiki.com/index.php/Comment_configurer_le_parefeu_depuis_Plesk_%3F"
Personal tools
Toolbox