Re: Trop parano avec iptables ?

トップ ページ

このメッセージに返信
著者: Olivier_Allard-Jacquin
日付:  
To: guilde
題目: Re: Trop parano avec iptables ?
> "-i lo0" est évidement sans danger... :-)

        C'est aussi ce que je pensais, mais deux avis valent mieux
qu'un seul !



> Pour ce qui est de "-o lo0", pas de danger non plus, sachant que cette
> addresse serait consideree par tous les routeurs intermediaires comme la


> leur... Si teux veux un bulldozer pour écraser une mouche, tu peux
> activer un anti-IP spoofing sur ppp0:
>
> # Refuse packets claiming to be from a Class A private network.
> iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
> # Refuse packets claiming to be from a Class B private network.
> iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
> # Refuse Class D multicast addresses. Multicast is illegal as a source
> address.
> iptables -A INPUT -i ppp0 -s 224.0.0.0/4 -j DROP
> # Refuse Class E reserved IP addresses.
> iptables -A INPUT -i ppp0 -s 240.0.0.0/4 -j DROP
> # Refuse packets claiming to be to the loopback interface.
> iptables -A INPUT -i ppp0 -d 127.0.0.1/27 -j DROP
> # Refuse broadcast address packets.
> iptables -A INPUT -i ppp0 -d 192.168.1.31 -j DROP



        Effectivement, c'est un peu "bourrin" comme méthode !
Mais ce type de règles ne sont elles pas devenues "obsoletes" avec
l'utilisation du système de suivit de connexion (*contrack*):



insmod ip_conntrack
insmod ip_conntrack_ftp

iptables -A OUTPUT -o ppp0 -m state \
         --state NEW,ESTABLISHED,RELATED -j ACCEPT


iptables -A INPUT -i ppp0 -m state \
         --state ESTABLISHED,RELATED -j ACCEPT



        Car plutôt que d'interdire certains types de connexions
entrantes, ne vaut il mieux pas n'autoriser que les connexions
dûment établies par le client ?


        A moins bien sur d'avoir des fonctions de serveur (http, ftp,
etc ...) sur la machine, et auquel cas, il convient en effet d'interdire
tout les trafics "bizarres" avec la méthode bulldozer dont tu parles
ci-dessus ! :=)


        Merci en tout cas pour tes conseils


                                        Olivier