Bonjour,
Vous allez peut-être rigoler mais je n'arrive pas à configurer mon firewall sur mon VPS alors que ça semble très simple. ^^
Je m'explique je dispose d'un VPS qui héberge un serveur Teamspeak 3. Souhaitant protéger un peu mieux mon serveur contre les attaques, j'ai activé la mitigation en permanence, avec pour objectif ensuite de configurer le firewall.
Je me suis donc rendu sur la page de Teamspeak pour avoir la liste des ports à ouvrir que voici ci-dessous :
Après avoir lu différentes documentations (Forum, Guide OVH, …) j'ai réalisé la configuration ci-dessous mais malheureusement avec celle-ci impossible de se connecter au serveur Teamspeak.
Je vous remercie d'avance pour votre aide qui me sera bien utile 
Hello,
Non ça ne marche pas ton affaire, la source étant le client (moi par exemple) ce sera par défaut un port pris au hasard. Du coup, ne met rien en source, et en destination met bien les ports de ton serveur.
Bien sûr lorsque tu corrigeras, suit bien ta doc avec UDP et TCP ;).
– Meddy
VPS qui héberge un serveur Teamspeak 3. Souhaitant protéger un peu mieux mon serveur contre les attaques,
Sache que tu protège rien.
La porte "9987", lui de la voix, t'as planté un gros "laisser passer" devant.
Autrement dit, sans règle, le filtrage par défaut, le résultat sera pareil.
Vraiment protéger, c'est justement filtrer (analyser) toutes les paquets avec destination "IP de ton serveur" et porte "9987". Tes règles doivent analyser en profondeur ces paquets et les valider (== un client TS 'normal' soit une tentative de DDOS). C'est TRÈS technique comme sujet.
Bloquer des portes qui ne sont pas servis par des services ça sert à presque rien. C'est paquets disparaisse dans /dev/null de toute façon.
Je te présente mes règles parafeu qui fonctionnent bien depuis des des années :
Chain INPUT (policy ACCEPT 9005 packets, 1157K bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 9128 packets, 1419K bytes)
Autrement dit : rien ....
Attention : j'utilise bien sur https://www.test-domaine.fr/munin/papy-team.org/www.papy-team.org/fail2ban.htmlfail2ban pour bloquer des tentatives de login et autre abuse de mes services pour que mon serveur ne les traite pas pour rien.
Un vrai DDOS, ça ne se gère pas avec nos "iptables", mais un niveau plus haut : c'est OVH qui pourrait s'en occuper (ils le font). Si tu craint un DOSS, c'est déjà pas sur un VPS ou il faut être.
Merci pour les infos que vous m'apportez !
@Nowwhat en gros si je comprends bien ce que tu fais avec la configuration comme celle-ci dessous (par exemple) tu limites le nombre paquets et de bande passante autorisé par le port ?
Chain INPUT (policy ACCEPT 9005 packets, 1157K bytes)
Après je ne risque pas d'avoir des "Gros ddos" et puis si ça arrive et que le TeamSpeak est down ce ne sera pas trop grave. Je veut juste faire une configuration avec un minium de sécurité.
----------
@Meddyb pour ouvrir un port en sortie je le configure en "Port Source" ?https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31083831.png" alt="Imagedepresse-papiers2017-01-31083831.png" border="0">
![https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31083831.png"](https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31083831.png"){kind=link}
@Nowwhat en gros si je comprends bien ce que tu fais avec la configuration comme celle-ci dessous (par exemple) tu limites le nombre paquets et de bande passante autorisé par le port ?
Chain INPUT (policy ACCEPT 9005 packets, 1157K bytes)
Non.
Ces trois "chaines" sont présent dès le démarrage de ton serveur.
J'ai AUCUN règle IPv4 et IPv6 (!!) ajouté manuellement (sauf les 500+ imputé par fail2ban) - voir le lien.
N’oublie pas : ton serveur, ce n'est pas un OS-bureau comme "Windows" (version 'bureau), il s'agit d'un vrai OS qui a pour habitude de 'vivre', branché directement sur le net.
**edit** : ton image ... il ne s'agit pas des règles SUR ton serveur, mais de coté OVH, dans le Manager - donc AVANT( ? ) ton serveur.
Dans ce cas, oublie ce que j'ai dit : filtrer un niveau plus haut, ça, c'est ok ça (ça pourrait aider).
Il s'agit d'une paramétrage du système doss d'OVH ?
Dans ton image, vire partout la colonne "Porte Source" et t'es bon.
@Meddyb pour ouvrir un port en sortie je le configure en "Port Source" ?
Comme je t'ai dis, c'est le port de destination dans le firewall ovh, car la destination c'est ton VPS. LA source c'est le client, ce port sera tout le temps aléatoire (sauf si l'utilisateur définit un expressément de sortie). Donc, en source, tu mets rien. En destination, tu mets les ports de ton TS3.
Autre chose, pour compléter les dires correctifs de @Nowwhat, utiliser le firewall OVH protège aussi ton VPS de la charge qu'une attaque DDoS impose. Lorsque OVH filtre ta connection et, encore mieux, ton DDoS, ce sont nos système qui prennent la charge lourde qu'un fort afflux peut engendrer. Aussi ton VPS reste alors tranquille, et bien souvent les connections déjà établis sont également à l'aise :).
Merci à vous deux ça marche sans problème 
Si jamais la config peut aider des gens voici la capture d'écran :https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31183348.png" alt="Imagedepresse-papiers2017-01-31183348.png" border="0">
![https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31183348.png"](https://s1.picsriver.com/2017/01/31/Imagedepresse-papiers2017-01-31183348.png"){kind=link}