Re: [P2P & iptables]

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: Guilde Linux
題目: Re: [P2P & iptables]
    Bonjour,

> Je croyais qu'à partir du moment où on activait le module state, _tous_
> les paquets étaient au moins regardés par ce module pour déterminer
> l'état des connexions.


    Je viens de regarder de nouveau la doc, je n'ai pas vu ceci. Par 
contre, je remarque que dans ton script tu laisses par défaut tout sortir :


"iptables -P OUTPUT ACCEPT"

C'est peut-être à cause de cela que tu obtiens le comportement que tu
indiques.

    Par contre, si tu avais des règles du type :


"iptables -P OUTPUT DROP"
"iptables -A OUTPUT -j ACCEPT"

je pense que les règles de retour en "iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT" ne doivent pas marcher.

    Je ferais quelques tests supplémentaires et je publierai les résultats ici.


    Mais personnellement, je préfère utiliser quelque chose comme :


"iptables -P OUTPUT DROP"
"iptables -A OUTPUT -m state --state !INVALID -j ACCEPT"

car cela permet de repérer de mieux contrôler les paquets, et de repérer
ou d'empêcher ma machine d'émettre des paquets "bizarres". Si par
exemple un petit malin prend le contrôle de ma machine, et s'en sert
pour envoyer des paquets mal formés (un nmap un peu vicieux par exemple,
ou avec détection de signature de la pile IP de la cible), Netfilter ne
le laissera pas faire.

                    Olivier