Re[1]: iptables

トップ ページ

このメッセージに返信
著者: Patrice Karatchentzeff
日付:  
To: GUILDE
題目: Re[1]: iptables
Olivier Allard-Jacquin écrivait :

[...]

 >     le problème est la : Par defaut, la première chose que tu fais
 > est de droper tout les paquets. Ce qu'il faut comprendre avec
 > netfilter, c'est que les paquets passent à travers les rêgles les
 > unes après les autres.  Ils passent DANS L'ORDRE DES REGLES !!! Là,
 > la première chose que tu fais c'est de supprimer tout les
 > paquets. Les rêgles suivantes ne sont jamais utilisées.


Rahh, je commençais à me douter d'un truc comme cela. Merci beaucoup.

[...]

> http://olivieraj.free.fr/fr/linux/information/firewall/


Je l'avais dans mes anciens bookmarks, cela m'apprendra. Bon, je
télécharge le tout : cela va faire grimper tes stats ;-)

>
 >     J'ai aussi écrit un script de configuration de Nefilter : Il est du 
 > type "mirroir sans teint" : Il laisse tout passer en sortie (je 
 > considère que j'ai confiance dans les softs qui tournent sur ma 
 > machine), mais empèche les connexions entrantes non solicitées :

>
> http://olivieraj.free.fr/fr/linux/programmes/netfilter_cfg/


Le lien est mort. Tu as dû te tromper.

>
 >     C'est notament plus efficace que tes rêgles de DNS :

>
> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j LOG_ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j
> LOG_ACCEPT
> iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j LOG_ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j
> LOG_ACCEPT
>
 >     Ca c'est TRES mauvais : N'importe qui peut te faire un port scanning, 
 > voir pire, en envoyant les paquets depuis son port 53.


Alors, là, par contre, je ne suis pas sûr de comprendre... ou plutôt
si : il suffirait d'ajouter une règle genre ESTABLISHED (comme pour
les autres protocoles) pour rendre cette règles sures dans les deux
sens ?

iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -m state --state ESTABLISHED -j LOG_ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT

et la même chose pour tcp ?

J'avoue que j'ai fait un copier-coller rapide pour cette règle
(m'apprendra à faire de la sécurité en faisant du copier-coller : je
vais me vider de mon poste de sys-admin pour faute grave... de chez
moi :)).

PK


--
      |\      _,,,---,,_       Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:p.karatchentzeff@free.fr
     |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
    '---''(_/--'  `-'\_)