non c'est toi qui a raison, mais cela implique que le PC doit rester sous tension.. je ne trouve pas cette solution rentable mais ce n'est que mon avis
Le Jeudi 21 Septembre 2006 18:52, Thierry B a écrit : > on4hu a écrit : > > 1 = LB > > 2 = Linksys > > 3 = iptable de cette machine Linux > > Désolé, c'est peut-etre moi qui me suis mal exprimé mais justement > iptables je l'utilise avec le linksys (c'est pas pour rien, que je l'ai > flashé avec openwrt qui est un formware linux) enfin apparemment, Pascal > avait compris :-) > > > Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit : > >> Salut, > >> > >> on4hu a écrit : > >>> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te > >>> donnerais 3 routeurs l' un derrière l'autre ???? > >> > >> Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys. > >> > >>> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie > >>> modem > >> > >> Si tu as la recette pour passer une Livebox en bridge, je pense que ça > >> intéressera du monde. > >> > >>> 2) utilise ton routeur WRT54GL > >> > >> C'est bien ce que ThierryB a annoncé avoir l'intention de faire. > >> > >>> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC > >>> d'ailleurs > >> > >> Ben voyons... > >> > >>> 4) utiliser le WiFi du WRT54GL > >> > >> C'est bien ce que ThierryB a annoncé avoir l'intention de faire. > >> > >>> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit : > >>>> Même si ca n'utilise pas explicitement une debian, je pense que l'on > >>>> peut me répondre sur la liste. > >> > >> Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur > >> une Debian. ;-) > >> > >>>> Au niveau de la config iptables, j'ai certaines règles que j'hésite à > >>>> mettre car je ne suis pas sure de leur utilités: > >>>> > >>>> # Refuser les adresses sources falsifiées ou non routables > >>>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter > >> > >> Attention : rp_filter n'est activé pour une interface donnée que s'il > >> est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/. > >> D'autre part, il n'a pas pour but de "refuser les adresses sources > >> falsifiées ou non routables" mais de rejeter les paquets dont l'adresse > >> source n'est pas routée via l'interface d'arrivée. > >> > >>>> # Journaliser les adresses sources falsifiées ou non routables > >>>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians > >>>> > >>>> # Ignorer les messages de diffusion ICMP > >>>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > >>>> > >>>> # Ne pas envoyer de messages redirigés > >>>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects > >> > >> Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il > >> est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en > >> envoyer. > >> > >>>> # Anti Flood > >>>> # iptables -N syn-flood > >>>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood > >>>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood > >>>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j > >>>> RETURN # iptables -A syn-flood -j DROP > >> > >> 4 TCP SYN par seconde me paraît très faible. > >> > >>>> # Rejets > >>>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset > >>>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable > >>>> > >>>> Je me dis que ces règles de securité peuvent pour un simple nat > >>>> classique mais pour une double nat, peut-etre que la livebox, filtrera > >>>> ces paquets parasites non? > >> > >> Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que > >> la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle > >> absolu sur elle ! -- WEB server: http://www.on4hu.be/ FTP server: ftp://ftp.on4hu.be/ COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING PROPERLY AS SOON AS YOU OPEN WINDOWS
