Salut, giggzounet a écrit : > > suite à des problèmes avec la surcouche firewall apportée par > firestarter, je me décide à m'intéresser à iptables.
Bravo ! > J'ai tenté ma chance sur la list de > netfilter...mais bon pas eu de réponse... J'ai vu "cluster" dans le sujet alors j'ai passé en me disant "houla, j'y connais rien et ça doit être compliqué". > j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un > parefeu sur le master node. Naturellement le master doit accepter tout > ce que vient des noeuds. Et j'aimerais que tout ce que vienne de > l'extérieur soit filtré à part qqs services comme ssh et http. Le master se comporte comme un genre de load balancer ? Il fonctionne plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ? > pour l'instant j'ai ça: > > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > :Firewall-1-INPUT - [0:0] > -A INPUT -j Firewall-1-INPUT > -A FORWARD -j Firewall-1-INPUT C'est pas la peine de virer la surcouche si c'est pour faire pareil... > # > # > -A INPUT -j Firewall-1-INPUT > -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set > --name SSH --rsource -j ACCEPT > -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 > --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix > "SSH_brute_force " > -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 > --hitcount 4 --rttl --name SSH --rsource -j DROP Mon conseil : quand on débute, commencer par des choses simples et basiques : suivi de connexion, filtrage des flux par interface d'entrée et/ou de sortie, protocole et port. Pour les trucs subtils à base de "recent" (susceptible de provoquer un auto-DoS si mal maîtrisé), on verra plus tard. <couic le reste> > Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez > des idées...je suis preneur. Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec le "cahier des charges" mentionné plus haut. Faut dire qu'il est tellement vague... > UNe autre question: > si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? C'est indépendant. ip6tables n'est utile que si la machine a une connectivité IPv6. > dois je mettre les mêmes rêgles ? Tu ne pourras pas forcément : les adresses et les types ICMP sont spécifiques à chacun des deux protocole. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
