Bonjour, Je ne refuse pas toutes les IP de classes A, B, C et D, mais seulement les r�seaux 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 224.0.0.0/4 et 240.0.0.0/5 arrivant sur la pate Internet de ma passerelle.
Merci pour ces pr�cisions concerant la table NAT et la chaine PREROUTING, je n'avais pas conscience de ��. Pour la table MANGLE, je m'�tais arr�t� � son utilisation pour le QOS, mais je vais m'y int�resser maintenant. Comme les communications viennent du LAN, je peux donner un minimum d'infos, et ajouter " --reject-with tcp-reset" ne fait pas de mal.. Sur ma passerelle, j'ai aussi un serveur DNS, il est donc facile de r�cup�rer les IP du serveur POP3 et de les utiliser dans une r�gle IPTABLES. Pour mes tests sur ces r�gles, j'ai fait 2 erreurs. J'ai oubli� de supprimer le ! dans la r�gle avec le "-j ACCEPT" pour matcher les connexions aux serveurs POP3. Et surtout j'ai oubli� que l'ordre des r�gles �tait important (juste avant ces r�gles une autre r�gle matchait les communications vers POP3 (p3scan pour v�rifier les virus) ) Merci pour toutes ces explications. A+ SEB [EMAIL PROTECTED] wrote: > Salut, > > Seb a �crit : > >> >> Sur ma passerelle, j'ai ajout� des r�gles Iptables pour am�liorer la >> s�curit�, en emp�chant par exemple les trames venant d'Internet qui ont >> comme source des IP de classes A, B, C et D. > > > Alors tes r�gles ne doivent pas laisser passer grand chose, dans la > mesure ou la plupart des adresses internet appartiennent � ces anciennes > classes. Classes qui sont d�sormais obsol�tes depuis l'adoption de CIDR, > c'est-�-dire un bon moment. > >> iptables -t nat -A PREROUTING -i $WAN_INTERFACE -s 10.0.0.0/8 -j DROP >> >> Dans ce cas, je sais quelles fonctionnent avec "iptables -t nat -L -n >> - -v" et le nb de paquets donn�. > > > Remarque : bien que supportant les cibles ACCEPT et DROP, les cha�nes > PREROUTING, OUTPUT et POSTROUTING de la table nat ne sont pas pr�vues > pour faire du filtrage mais uniquement du NAT (SNAT, DNAT, MASQUERADE, > REDIRECT, NETMAP...), � cause de leur fonctionnement particulier en > relation avec le suivi de connexion : seul le premier paquet d'une > connexion est examin� par les r�gles des cha�nes de la table nat, et le > r�sultat d�termine �galement le traitement des paquets suivants dans les > deux sens. > > Le filtrage (ACCEPT, REJECT, DROP...) doit avoir lieu dans les cha�nes > INPUT, OUTPUT et FORWARD de la table filter (table par d�faut) qui sont > pr�vues pour �a. A la limite, si on a besoin de filtrer sur des crit�res > qui peuvent �tre alt�r�s apr�s la travers�e de la cha�ne PREROUTING > (comme par exemple l'adresse destination en cas de port forwarding), il > vaut mieux le faire dans la table mangle (toujours travers�e avant la > table nat) que dans la table nat. Mais une solution plus �l�gante > consiste � marquer les paquets � filtrer dans la table mangle avec la > cible MARK et � les filtrer dans la table filter avec la correspondance > mark. > > Exemple pour rejeter l'acc�s aux adresses priv�es du LAN depuis > l'ext�rieur : > > iptables -t mangle -A PREROUTING -i $WAN_INTERFACE -d $LAN_NETWORK \ > -j MARK --set-mark 0x1234 > > iptables -A INPUT -i $WAN_INTERFACE -m mark --mark 0x1234 \ > -j REJECT --reject-with network unreachable > > iptables -A FORWARD -i $WAN_INTERFACE -m mark --mark 0x1234 \ > -j REJECT --reject-with network unreachable > >> J'ai voulu ajout� des r�gles pour l'acc�s � POP3 (tcp/110) o� seules les >> IP des serveurs POP3 choisis seront accessibles (en fait je drop les >> trames qui ne corresponde pas). >> iptables -t nat -A PREROUTING -i $LAN_INTERFACE -s $LAN_NETWORK -p tcp >> - --dport 110 -d ! $ipPopServer -j DROP > > > Remarque 1: comme expliqu� plus haut, ce filtrage devrait avoir lieu > dans la cha�ne FORWARD de la table filter. > > Remarque 2: pour ce genre de filtrage il vaut mieux utiliser la cible > REJECT avec �mission d'un RST (option --reject-with tcp-reset) pour > signaler imm�diatement � l'�metteur que la connexion est refus�e au lieu > de le laisser r�essayer plusieurs fois et attendre en vain une r�ponse > avant d'abandonner finalement. > > Remarque 3: tu fais comment s'il y a plusieurs adresses de serveurs POP3 > autoris�es ? > >> Pour les tests j'ai mis "-j ACCEPT" > > > Si c'est pour compter on peut aussi ne pas sp�cifier de cible, ainsi le > paquet continue � traverser les r�gles suivantes. > >> Mais dans ce cas, m�me en allant relever mes mails, je n'ai pas d'info >> sur le nb de paquets pris par la r�gle. > > > Mais encore ? Le compteur de paquets reste � z�ro ? > Le serveur POP interrog� est-il celui autoris� ou un autre ? > >> Une erreur de ma part, c'est s�r, mais je ne vois pas o�. >> Une petite id�e ?? > > > Il faudrait voir les r�gles pr�c�dentes. Mais la premi�re erreur est > d�j� d'avoir fait du filtrage dans la table nat. -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
