Re: iptables

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: GUILDE
題目: Re: iptables
    Hello PK,

Patrice Karatchentzeff wrote:
> Rahh, je commençais à me douter d'un truc comme cela. Merci beaucoup.


    De rien


> > http://olivieraj.free.fr/fr/linux/information/firewall/
>
> Je l'avais dans mes anciens bookmarks, cela m'apprendra. Bon, je
> télécharge le tout : cela va faire grimper tes stats ;-)


    Vas y, c'est fait pour. La doc est tout particulièrement conçu pour la 
lecture off-ligne : Tu as un tgz du site complet, ou un PDF (idéal pour 
l'impression).



> Le lien est mort. Tu as dû te tromper.


    Damned, c'est


http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/

>  >     C'est notament plus efficace que tes rêgles de DNS :

> >
> > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j LOG_ACCEPT
> > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j
> > LOG_ACCEPT
> > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j LOG_ACCEPT
> > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j
> > LOG_ACCEPT
> >
>  >     Ca c'est TRES mauvais : N'importe qui peut te faire un port scanning, 
>  > voir pire, en envoyant les paquets depuis son port 53.

>
> Alors, là, par contre, je ne suis pas sûr de comprendre... ou plutôt
> si : il suffirait d'ajouter une règle genre ESTABLISHED (comme pour
> les autres protocoles) pour rendre cette règles sures dans les deux
> sens ?


    Oui, tout à fait.


    L'explication est là :


http://olivieraj.free.fr/fr/linux/information/firewall//fw-03-07.html

C'est avec le port 80, mais c'est la même chose que pour toi.

> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -m state --state ESTABLISHED -j LOG_ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT
>
> et la même chose pour tcp ?


    Exactement.


> J'avoue que j'ai fait un copier-coller rapide pour cette règle
> (m'apprendra à faire de la sécurité en faisant du copier-coller : je
> vais me vider de mon poste de sys-admin pour faute grave... de chez
> moi :)).


    Et en plus, tu écriras 1000 fois : RTFM   ;)


(script shell, perl, C, etc... interdit bien sûr !)

                    Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!