Salut,
Seb a �crit :
Sur ma passerelle, j'ai ajout� des r�gles Iptables pour am�liorer la s�curit�, en emp�chant par exemple les trames venant d'Internet qui ont comme source des IP de classes A, B, C et D.
Alors tes r�gles ne doivent pas laisser passer grand chose, dans la mesure ou la plupart des adresses internet appartiennent � ces anciennes classes. Classes qui sont d�sormais obsol�tes depuis l'adoption de CIDR, c'est-�-dire un bon moment.
iptables -t nat -A PREROUTING -i $WAN_INTERFACE -s 10.0.0.0/8 -j DROP
Dans ce cas, je sais quelles fonctionnent avec "iptables -t nat -L -n - -v" et le nb de paquets donn�.
Remarque : bien que supportant les cibles ACCEPT et DROP, les cha�nes PREROUTING, OUTPUT et POSTROUTING de la table nat ne sont pas pr�vues pour faire du filtrage mais uniquement du NAT (SNAT, DNAT, MASQUERADE, REDIRECT, NETMAP...), � cause de leur fonctionnement particulier en relation avec le suivi de connexion : seul le premier paquet d'une connexion est examin� par les r�gles des cha�nes de la table nat, et le r�sultat d�termine �galement le traitement des paquets suivants dans les deux sens.
Le filtrage (ACCEPT, REJECT, DROP...) doit avoir lieu dans les cha�nes INPUT, OUTPUT et FORWARD de la table filter (table par d�faut) qui sont pr�vues pour �a. A la limite, si on a besoin de filtrer sur des crit�res qui peuvent �tre alt�r�s apr�s la travers�e de la cha�ne PREROUTING (comme par exemple l'adresse destination en cas de port forwarding), il vaut mieux le faire dans la table mangle (toujours travers�e avant la table nat) que dans la table nat. Mais une solution plus �l�gante consiste � marquer les paquets � filtrer dans la table mangle avec la cible MARK et � les filtrer dans la table filter avec la correspondance mark.
Exemple pour rejeter l'acc�s aux adresses priv�es du LAN depuis l'ext�rieur :
iptables -t mangle -A PREROUTING -i $WAN_INTERFACE -d $LAN_NETWORK \ -j MARK --set-mark 0x1234
iptables -A INPUT -i $WAN_INTERFACE -m mark --mark 0x1234 \ -j REJECT --reject-with network unreachable
iptables -A FORWARD -i $WAN_INTERFACE -m mark --mark 0x1234 \ -j REJECT --reject-with network unreachable
J'ai voulu ajout� des r�gles pour l'acc�s � POP3 (tcp/110) o� seules les
IP des serveurs POP3 choisis seront accessibles (en fait je drop les
trames qui ne corresponde pas).
iptables -t nat -A PREROUTING -i $LAN_INTERFACE -s $LAN_NETWORK -p tcp
- --dport 110 -d ! $ipPopServer -j DROP
Remarque 1: comme expliqu� plus haut, ce filtrage devrait avoir lieu dans la cha�ne FORWARD de la table filter.
Remarque 2: pour ce genre de filtrage il vaut mieux utiliser la cible REJECT avec �mission d'un RST (option --reject-with tcp-reset) pour signaler imm�diatement � l'�metteur que la connexion est refus�e au lieu de le laisser r�essayer plusieurs fois et attendre en vain une r�ponse avant d'abandonner finalement.
Remarque 3: tu fais comment s'il y a plusieurs adresses de serveurs POP3 autoris�es ?
Pour les tests j'ai mis "-j ACCEPT"
Si c'est pour compter on peut aussi ne pas sp�cifier de cible, ainsi le paquet continue � traverser les r�gles suivantes.
Mais dans ce cas, m�me en allant relever mes mails, je n'ai pas d'info sur le nb de paquets pris par la r�gle.
Mais encore ? Le compteur de paquets reste � z�ro ? Le serveur POP interrog� est-il celui autoris� ou un autre ?
Une erreur de ma part, c'est s�r, mais je ne vois pas o�. Une petite id�e ??
Il faudrait voir les r�gles pr�c�dentes. Mais la premi�re erreur est d�j� d'avoir fait du filtrage dans la table nat.
-- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
