Configuration Iptables - Jenkins
L'application Jenkins a été installée avec Jenkins Runner qui embarque sont propre serveur web. Dans le cadre de cette installation, elle a été rendue accessible derrière un serveur Apache.
La machine n'étant pas directement exposée sur internet, l'accès direct ne devrait pas être disponible. Cependant, la sécurité va être augmentée en ajoutant des règles dans Iptables afin de restreinte l'accès.
Sommaire
Votre avis
| Nobody voted on this yet
|
|
Analyse
Il faut identifier le port de l'application, qui est par défaut 8080, mais modifié en 8090.
Paramétrages
Après avoir identifié le port utilisé, les règles dans Iptables vont être mis en place en s'inspirant de l'organisation faite par Fail2ban.
La configuration Iptables initiale étant la suivante:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0
Création "Chain"
Dans un premier temps, une "chain" est créée pour structurer la table:
#sudo iptables -N iptables-jenkins
| Paramètre | Utilisation |
|---|---|
| -N | Mode création. |
| iptables-jenkins | Nom de la nouvelle "Chain". |
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (0 references) target prot opt source destination
Restriction générale
Par défaut, toutes les connexions vont être refusées.
#sudo iptables -A iptables-jenkins -j REJECT
| Paramètre | Utilisation |
|---|---|
| -A | Mode ajout. |
| iptables-jenkins | Cible dans la table où est ajoutée la règle. |
| -j REJECT | Les connexions seront refusées |
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (0 references) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Autorisation locale
Le serveur étant exposé par un serveur Apache, il faut autoriser la connexion localement:
#sudo iptables -I iptables-jenkins 1 -s 127.0.0.1 -j ACCEPT
| Paramètre | Utilisation |
|---|---|
| -I | Mode insertion. |
| iptables-jenkins | Cible dans la table où est ajoutée la règle. |
| 1 | Position de l'insertion. |
| -s 127.0.0.1 | Autorisation pour la machine locale. |
| -j ACCEPT | Les connexions seront autorisées. |
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (0 references) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Autorisation adresse IP
Cependant, cela peut être utile d'accéder au serveur à partir d'un ordinateur "externe". Pour autoriser la connexion depuis une adresse IP spécifique:
#sudo iptables -I iptables-jenkins 2 -s 192.168.1.3 -j ACCEPT
| Paramètre | Utilisation |
|---|---|
| -I | Mode insertion. |
| iptables-jenkins | Cible dans la table où est ajoutée la règle. |
| 2 | Position de l'insertion. Celle-ci est ajoutée après localhost.
En effet, les connexions seront principalement depuis la machine, donc il est "préférable" que les autorisations arrivent le plus rapidement possible. |
| -s 192.168.1.3 | Autorisation pour une IP particulière. |
| -j ACCEPT | Les connexions seront autorisées. |
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (0 references) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 192.168.1.3 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Autorisation ensemble adresses IP
Dans le précédent paragraphe, une seule adresse IP a été autorisée. Il peut être utile d'autoriser un ensemble d'adresse dans le cas où l'accès doit être réalisé depuis plusieurs ordinateurs:
#sudo iptables -I iptables-jenkins 2 -m iprange --src-range 192.168.1.1-192.168.1.10 -j ACCEPT
| Paramètre | Utilisation |
|---|---|
| -I | Mode insertion. |
| iptables-jenkins | Cible dans la table où est ajoutée la règle. |
| 2 | Position de l'insertion. Celle-ci est ajoutée après localhost.
En effet, les connexions seront principalement depuis la machine, donc il est "préférable" que les autorisations arrivent le plus rapidement possible. |
| -m iprange | Utilisation du module pour déclarer un ensemble d'adresse IP. |
| --src-range 192.168.1.1-192.168.1.10 | Toutes les IPs entre 192.168.1.1 et 192.168.1.10 sont concernées. |
| -j ACCEPT | Les connexions seront autorisées. |
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (0 references) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.1.1-192.168.1.10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Activation "Chain"
Enfin, il faut ajouter la nouvelle "Chain" comme règle du trafic.
#sudo iptables -I INPUT -p tcp --dport 8090 -j iptables-jenkins
| Paramètre | Utilisation |
|---|---|
| -I | Mode insertion. |
| INPUT | Cible dans la table où est ajoutée la règle. |
| -p tcp | S'applique au connexion tcp. |
| --dport 9000 | Spécifie les ports auquel s'applique la règle, ici ce sera tcp. |
| -j iptables-jenkins | La règle est redirigée vers la "Chain" iptables-jenkins créée.
|
La définition de Iptables devient:
#sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination iptables-jenkins tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8090 fail2ban-apache-scan tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-apache-scan (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 Chain iptables-jenkins (1 references) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.1.1-192.168.1.10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
