Le Thu Apr 28 2005 � 11:29:34PM +0200, [EMAIL PROTECTED] dit : > > # accepter le protocole ICMP (ex.ping) > > iptables -A INPUT -p icmp -j ACCEPT > > AMA il vaut mieux g�rer explicitement les diff�rents types de requ�tes > ICMP et laisser la r�gle suivante s'occuper des ICMP qui sont des > r�ponses ou des messages d'erreur relatifs � des connexions existantes.
# ICMP # Autorise tout en local iptables -A INPUT -i $LAN -p icmp -j ACCEPT iptables -A OUTPUT -o $LAN -p icmp -j ACCEPT iptables -A FORWARD -i $LAN -o $EXT -p icmp -j ACCEPT #iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type source-quench -j ACCEPT iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -i $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT iptables -A INPUT -i $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT # Rej�te les ICMP "dangereux" vers l'ext�rieur [1], [2] # [3] pour les limites iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT iptables -A OUTPUT -o $EXT -p icmp --icmp-type source-quench -m limit --limit 1/s -j ACCEPT iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A OUTPUT -o $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT iptables -A OUTPUT -o $EXT -p icmp -j DROP Si quelqu'un peut m'expliquer le source-quench je suis un peu feneant sur les RFC ... et le rejet (logs-fi est ma r�gle de "log and drop") : iptables -A logs-fi -j REJECT --reject-with icmp-port-unreachable # R�fs : # [1] iptables -p PROTO --help # [2] MISC HS FireWall 2 # [3] http://www.netfilter.org/ -- David Dumortier [EMAIL PROTECTED] -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
