Re: [P2P & iptables]

Startseite

Nachricht beantworten
Autor: Edgar Bonet
Datum:  
To: Guilde Linux
Betreff: Re: [P2P & iptables]
Le jeudi 30 octobre, Olivier Allard-Jacquin a écrit :
> >Je croyais qu'à partir du moment où on activait le module state, _tous_
> >les paquets étaient au moins regardés par ce module pour déterminer
> >l'état des connexions.
>
>     Je viens de regarder de nouveau la doc, je n'ai pas vu ceci. Par 
> contre, je remarque que dans ton script tu laisses par défaut tout sortir :

>
> "iptables -P OUTPUT ACCEPT"
>
> C'est peut-être à cause de cela que tu obtiens le comportement que tu
> indiques.
>
>     Par contre, si tu avais des règles du type :

>
> "iptables -P OUTPUT DROP"
> "iptables -A OUTPUT -j ACCEPT"
>
> je pense que les règles de retour en "iptables -A INPUT -m state --state
> ESTABLISHED,RELATED -j ACCEPT" ne doivent pas marcher.


Elles marchent. Je viens de faire l'essai en faisant précisément le
remplacement que tu suggères : j'accède toujours au web.

Petit test :

    iptables -Z; \
    lynx -dump http://www.guilde.asso.fr/ > /dev/null; \
    iptables -L -v


je vois 11 paquets acceptés par la règle

    iptables -A OUTPUT -j ACCEPT


et 8 par la règle

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


aucun paquet dropé (euh, je veux dire « jeté »).

>     Mais personnellement, je préfère utiliser quelque chose comme :

>
> "iptables -P OUTPUT DROP"
> "iptables -A OUTPUT -m state --state !INVALID -j ACCEPT"
>
> car cela permet de repérer de mieux contrôler les paquets, et de repérer
> ou d'empêcher ma machine d'émettre des paquets "bizarres".


Je fais confiance à Linux pour ne pas faire une chose pareille si je ne
le lui demande pas.

> Si par exemple un petit malin prend le contrôle de ma machine, et s'en
> sert pour envoyer des paquets mal formés (un nmap un peu vicieux par
> exemple, ou avec détection de signature de la pile IP de la cible),
> Netfilter ne le laissera pas faire.


Bof. Moi je pense que si un petit malin prend le contrôle de ma machine,
c'est déjà perdu, il faut réinstaller et re-blinder. Et de toutes
façons, s'il est assez fort pour prendre une machine firewallée, il
connaît probablement iptables. Il commencera donc par faire

    iptables -F; iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT


Bonne soirée.

Edgar.

-- 
Edgar Bonet           Maison : 04 76 21 29 16    Bureau : 04 76 88 10 96
3 rue Jean Prévost    Mobile : 06 77 19 79 39    Fax    : 04 76 88 11 91
38000 Grenoble        guilde@???     www.edgar-bonet.org