Re: [P2P & iptables]

Top Page
This message is part of the following thread:
Mthe complete thread tree sorted by date
MOlivier Allard-Jacquin at <-
MOlivier Allard-Jacquin at ->

Reply to this message
Author: Edgar Bonet
Date:  
To: Guilde Linux
Subject: Re: [P2P & iptables]
Le mercredi 29 octobre, Olivier Allard-Jacquin a écrit :
> >iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s $WAN_IP -d 
> >$WAN_NETWORK -p all -m state --state ! INVALID           -j ACCEPT

> 
>     Non, car cette règle a pour but de laisser passer les RÉPONSES des 
> paquets qui ont précédemment été traités par le module de suivit de 
> connexion ("-m state --state xxxx"). Or tes précédentes règles P2P en 
> INPUT N'utilisent PAS le module de connexion. Donc la règle ci-dessus NE 
> peut PAS les gérer, car ces paquets ne font pas parti de ceux que le 
> module doit surveiller.

Je croyais qu'à partir du moment où on activait le module state, _tous_
les paquets étaient au moins regardés par ce module pour déterminer
l'état des connexions. En tout cas ça semble marcher chez moi : dans mon
script j'ai une seule règle qui utilise le module state : 

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


et je peux communiquer avec l'extérieur.

Ceci dit, je ne fais pas du P2P et j'utilise rarement l'état RELATED
(seulement pour certains ICMP je pense, je peux faire du traceroute).

Voici mon script : 

    ----------------------------------------------------------------


# Flush all chains, delete user-defined chains
iptables -F
iptables -X

# Set policies (default rules)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Accept loopback, established and related connections
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open specific ports
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p udp --destination-port netbios-ns -j ACCEPT
iptables -A INPUT -p udp --destination-port netbios-dgm -j ACCEPT
iptables -A INPUT -p tcp --syn --destination-port netbios-ssn -j ACCEPT
iptables -A INPUT -p tcp --syn --destination-port ssh -j ACCEPT
iptables -A INPUT -p tcp --syn --destination-port http -j ACCEPT

# Rsh only from trusted interfaces
iptables -A INPUT -i ! eth0 -p tcp --syn --destination-port shell -j ACCEPT

# For FTP servers sending ident requests
iptables -A INPUT -p tcp --syn --dport ident -j REJECT --reject-with tcp-reset 

    ----------------------------------------------------------------


Edgar. 

-- 
Edgar Bonet           Maison : 04 76 21 29 16    Bureau : 04 76 88 10 96
3 rue Jean Prévost    Mobile : 06 77 19 79 39    Fax    : 04 76 88 11 91
38000 Grenoble        guilde@???     www.edgar-bonet.org


This message was posted to the following mailing lists:
Guilde
Mailing List Info | Nearby Messages		<-ma conf sur blender...ma conf sur jabber ;)->
Archive des listes de la GUILDE administrated by L'administrateurLurker (version 2.3)