le reject est à éviter car ipchains renvoie un message icmp pour dire qu'il y
a erreur, donc un éventuel attaquant peut se douter de quelque chose. Il faut
plutôt utiliser DENY
>
> j'ai fait ça avec ipchains. je bloque toutes les demandes de connexion sur
> les ports de service (0:1023)
>
> #J'ai un sous réseau sur eth1 je valide le port 520 (route)
> ipchains -A input -i eth1 -p udp -y --destination-port 520 -j ACCEPT
>
> ipchains -A input -i eth1 -p tcp -y --destination-port 0:1023 -j REJECT
> ipchains -A input -i eth1 -p udp -y --destination-port 0:1023 -j REJECT
>
> bye jjc
--
Bruno PINAUD
Ecole Polytechnique de l'Université de Nantes
http://www.polytech.univ-nantes.fr
And in the end, reality always tends to hit theory hard in the face when you
least expect it.
Linus Torvalds
=== May TUX be with you ===
______________________________________________________________________________
ifrance.com, l'email gratuit le plus complet de l'Internet !
vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP...
http://www.ifrance.com/_reloc/email.emailif
