Bonjour, suite à des problèmes avec la surcouche firewall apportée par firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin d'aide pour débuter. J'ai tenté ma chance sur la list de netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.
j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un parefeu sur le master node. Naturellement le master doit accepter tout ce que vient des noeuds. Et j'aimerais que tout ce que vienne de l'extérieur soit filtré à part qqs services comme ssh et http. pour l'instant j'ai ça: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :Firewall-1-INPUT - [0:0] -A INPUT -j Firewall-1-INPUT -A FORWARD -j Firewall-1-INPUT # # -A INPUT -j Firewall-1-INPUT -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix "SSH_brute_force " -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j DROP # # -A Firewall-1-INPUT -i lo -j ACCEPT # # begin: allowed networks # Intern Network -A Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT -A Firewall-1-INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT -A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT # -A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A Firewall-1-INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A Firewall-1-INPUT -p esp -j ACCEPT -A Firewall-1-INPUT -p ah -j ACCEPT -A Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited -A Firewall-1-INPUT -j LOG -A Firewall-1-INPUT -j DROP COMMIT Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez des idées...je suis preneur. UNe autre question: si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? dois je mettre les mêmes rêgles ? Merci d'avance, BOnne journée Guillaume -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
