-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pascal Hambourg wrote: > Vincent Bernat a écrit : >> >>> le lien : http://smhteam.info/upload_wiki/firewall.tar.gz >> >> Personnellement, je ne suis pas fan du surtraitement en ce qui >> concerne les états. Bon point de traiter ce qui est --state NEW, mais >> personnellement, je ne ferai pas tout un cinéma avec ce qui est >> RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela >> peut t'apporter de mauvaises surprises, notamment par exemple les DNS >> qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à >> 123. > > D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on > en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la > limitation des ICMP RELATED car certains types non indispensables > (Redirect, Source Quench) peuvent servir à des attaques. Concernant la > limitation des ports en RELATED, je ne connais pas d'application qui > utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En > tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent > que des connexions simples avec des états NEW et ESTABLISHED. > >> Pareil pour le coup de vérifier les TCP flags. > > Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas > strictement invalides puisqu'il y a une priorité entre flags. RST ayant > priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN > équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les > combinaisons non standard ne peuvent affecter que des piles IP > vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de > machines qui sont derrière. > >
Bonjour, Pour les commentaires, je vous l'accorde, c'est pas tres explicite quand on rentre dedans. J'ai remedie a cela dans la version sur mon poste. Les ports 111, 2049 et 32765:32768 comme tu le mentionnais correspondent bien a la gestion NFS (je me suis base sur le NFS HowTo). Ensuite pour les ICMP en ESTABLISHED je suis d'accord. Vu que les seules connexions icmp considerees comme ESTABLISHED sont les echo-reply, il n'y a aucun risque. Quant aux types ICMP consideres comme RELATED, la je trouve que cela se complique. Il y a ce qui est appele les blind icmp attacks. Le type source quench est utilise pour ralentir les connexions, de meme, les protocol unreachable, port unreachable, et fragmentation needed peuvent couper une connexion. Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire tous les types ICMP. Si le protocole etait inutile on le saurait. http://kerneltrap.org/node/5382 J'ai laisse destination unreachable, mais je ne sais plus trop quoi autoriser/interdire pour que cela fonctionne correctement tout en evitant au maximum les problemes mentionnes ci-dessus. Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous les deux juges ; je ne m'y connais pas assez. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFvHgFxJBTTnXAif4RApYFAJ9miwe5DtpLBspMxNVi5jLzA3Zg3wCeJZbU rnIdW2BReY/hk6fIk0PdD4I= =kovO -----END PGP SIGNATURE----- ___________________________________________________________ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]