Re: Trop parano avec iptables ?

Top Page

Reply to this message
Author: Francois-Xavier Kowalski
Date:  
To: Olivier_Allard-Jacquin
CC: guilde
Subject: Re: Trop parano avec iptables ?
>
>
>>Pour ce qui est de "-o lo0", pas de danger non plus, sachant que cette
>>addresse serait consideree par tous les routeurs intermediaires comme la
>>
>>leur... Si teux veux un bulldozer pour écraser une mouche, tu peux
>>activer un anti-IP spoofing sur ppp0:
>>
>># Refuse packets claiming to be from a Class A private network.
>>iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
>># Refuse packets claiming to be from a Class B private network.
>>iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
>># Refuse Class D multicast addresses. Multicast is illegal as a source
>>address.
>>iptables -A INPUT -i ppp0 -s 224.0.0.0/4 -j DROP
>># Refuse Class E reserved IP addresses.
>>iptables -A INPUT -i ppp0 -s 240.0.0.0/4 -j DROP
>># Refuse packets claiming to be to the loopback interface.
>>iptables -A INPUT -i ppp0 -d 127.0.0.1/27 -j DROP
>># Refuse broadcast address packets.
>>iptables -A INPUT -i ppp0 -d 192.168.1.31 -j DROP
>>
>>
>
>
>        Effectivement, c'est un peu "bourrin" comme méthode !
>Mais ce type de règles ne sont elles pas devenues "obsoletes" avec
>l'utilisation du système de suivit de connexion (*contrack*):

>
>
>insmod ip_conntrack
>insmod ip_conntrack_ftp
>
>iptables -A OUTPUT -o ppp0 -m state \
>         --state NEW,ESTABLISHED,RELATED -j ACCEPT

>
>iptables -A INPUT -i ppp0 -m state \
>         --state ESTABLISHED,RELATED -j ACCEPT

>
>
>        Car plutôt que d'interdire certains types de connexions
>entrantes, ne vaut il mieux pas n'autoriser que les connexions
>dûment établies par le client ?

>


J'ai aussi des regles de conntrack. Mais la reponse a ta question est
"non": Il n'y a aucune raison valable d'avoir des connections etablies
depuis/vers des addresses IP qui ne sont pas censees exister sur le
reseau public... :-)

Pour ce qui est de refuser les broadcast, c'est histoire de ne pas
repondre a une exploration Netbios par megarde. Pour ce qui est du
multi-cast, c'est pour ne pas repondre aux scans de ports permanents des
DNS de wanadoo.

Par contre il faut que je rafine des regles FTP (j'ai un trou) & que je
refuse explicitement les connections sortantes illicites, au lieu de les
ignorer comme je le fas pour les entrantes actuellement.

A+

--
Francois-Xavier 'FiX' KOWALSKI