Tutoriel 📝 Restrictions géographiques pour l'accès à distance via le pare-feu

[Sylvain*]

Introduction

• Ce tutoriel explique comment mettre en place des restrictions géographiques pour l'accès à distance à l'aide des options de pare-feu intégrées à Windows et Linux.

• Ces restrictions permettent de limiter l’accès aux services distants en fonction du pays d’origine des connexions, renforçant ainsi la sécurité du système.

---

Prérequis

• Pour Windows :

• Accès administrateur.

• Pare-feu Windows Defender activé.

• Installation de la base de données GeoIP.

• Pour Linux :

• Accès root ou sudo.

• Installation d'iptables et de la base de données GeoIP.

---

Méthodologie

• Deux méthodes seront présentées :

• Méthode 1 : Utilisation des options de pare-feu intégrées.

• Méthode 2 : Utilisation de scripts personnalisés basés sur les bases de données GeoIP.

---

Avantages des 2 méthodes

• La première méthode est plus simple et ne nécessite pas d’outils tiers.

• La seconde méthode est plus flexible et permet des mises à jour dynamiques des restrictions.

---

Inconvénients des 2 méthodes

• La méthode native peut être limitée en fonctionnalités avancées.

• L’utilisation de bases de données GeoIP nécessite des mises à jour régulières.

---

Étapes pour chaque méthode

Windows : Utilisation du Pare-feu Windows Defender


Ouvrir l’éditeur de règles avancées :

• Exécuter :

wf.msc

Créer une nouvelle règle entrante :

• Aller dans "Règles de trafic entrant" > "Nouvelle règle".

• Choisir "Personnalisé" et définir le service ou port concerné.

Définir les restrictions géographiques :

• Installer et configurer une solution comme PeerBlock ou PowerShell avec GeoIP.

• Ajouter un script PowerShell pour automatiser le blocage :

$GeoIPData = "C:\GeoIP\GeoLite2-Country.mmdb"
$BlockedCountries = @("CN", "RU", "IR")
foreach ($Country in $BlockedCountries) {
New-NetFirewallRule -DisplayName "Block $Country" -Direction Inbound -RemoteAddress $GeoIPData[$Country] -Action Block
}

Linux : Utilisation d’iptables avec GeoIP

Installer le module iptables GeoIP :

sudo apt-get install xtables-addons-common

Télécharger la base de données GeoIP :

sudo geoipupdate

Ajouter une règle de filtrage :

sudo iptables -A INPUT -m geoip --src-cc CN,RU,IR -j DROP

---

Astuce

• Pour des mises à jour automatiques des bases GeoIP, programmer un cron job sous Linux ou une tâche planifiée sous Windows.

---

Mise en garde

• Assurez-vous que votre propre pays n’est pas inclus dans la liste des adresses bloquées, au risque de vous verrouiller hors de votre propre système.

---

Conseil

• Tester les règles avant de les appliquer sur un serveur de production.

---

Solution alternative

• Utiliser un service de pare-feu cloud comme Cloudflare ou AWS Security Groups pour filtrer l'accès géographique en amont.

---

Références

• Windows :

• Microsoft Learn - Firewall Rules

• Recherche Google

• Linux :

---

Conclusion

• La mise en place de restrictions géographiques avec un pare-feu est une méthode efficace pour renforcer la sécurité des accès distants.

• Que ce soit avec les options natives de pare-feu ou via l'utilisation de bases GeoIP, il est important de bien tester et maintenir ces configurations à jour.