Re: Trop parano avec iptables ?

トップ ページ

このメッセージに返信
著者: Francois-Xavier Kowalski
日付:  
To: Olivier_Allard-Jacquin
CC: guilde
題目: Re: Trop parano avec iptables ?


Olivier_Allard-Jacquin@??? wrote:

>        Bonjour,

>
>
>        j'ai une petite question de configuration de Netfilter, et je me 
>demande
>si je suis trop parano (mais en terme de sécurité informatique, ne l'est 
>on
>jamais trop ?).

>
>Configuation: 
>        - PC équipé d'un kernel 2.4
>        - connexion internet via ppp0
>        - connexion reseau via eth0 IP/port: 192.168.1.1/255.255.255.0

>
>Au début de mon script de configuration de netfilter, j'ai écrit ceci:
>
><script>
># Suppression de toutes les chaines
>iptables -F
>iptables -X
>
># Polices par défaut: Tout est refusé
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>
># Accepte toutes les connexions sur le loopback
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>[Le reste n'est pas important pour la question]
></script>
>
>        Ce sont ces 2 dernières regles iptables qui me gêne. J'ai un bon
>nombre de démons qui tournent sur le loopback(*) (postfix, proftpd, samba,
>etc ...), que ce soit pour de l'utilisation courante ou pour faire du 
>test.

>
>(*) J'ai configuré ces démons pour qu'il ne répondent qu'aux requètes
>venant
>de 127.0.0.0/255.255.255.0 et/ou uniquement sur l'interface ppp0
>(parametre "bind interface" lorsque c'est possible)
>
>Est-ce que ces règles ne sont pas trop permitives, et n'y a t'il
>pas un risque qu'un "vilain" venant de la connexion Internet (ppp0), puisse
>par quelques magouilles obscures "remonter" la couche réseau et rentrent par
>l'interface loopback ("-i lo") ? Cela me paraît un peu tiré par les
>cheveux, mais bon ...
>


"-i lo0" est evidement sans danger... :-)

Pour ce qui est de "-o lo0", pas de danger non plus, sachant que cette
addresse serait consideree par tous les routeurs intermediaires comme la
leur... Si teux veux un bulldozer pour ecraser une mouche, tu peux
activer un anti-IP spoofing sur ppp0:

# Refuse packets claiming to be from a Class A private network.
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
# Refuse packets claiming to be from a Class B private network.
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
# Refuse Class D multicast addresses. Multicast is illegal as a source
address.
iptables -A INPUT -i ppp0 -s 224.0.0.0/4 -j DROP
# Refuse Class E reserved IP addresses.
iptables -A INPUT -i ppp0 -s 240.0.0.0/4 -j DROP
# Refuse packets claiming to be to the loopback interface.
iptables -A INPUT -i ppp0 -d 127.0.0.1/27 -j DROP
# Refuse broadcast address packets.
iptables -A INPUT -i ppp0 -d 192.168.1.31 -j DROP

A+

--
Francois-Xavier 'FiX' KOWALSKI