Le 15/09/2010 16:31, Pascal Hambourg a écrit : > giggzounet a écrit : >> >>> Y a des règles pour définir les limites avec -m limit --limit ? ou alors >>> c'est au pif ? > > Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de > la machine, du réseau... >
je vouslais dire: j'en teste une première (600/min) et si ça passe je laisse sinon je mets 300/min... >> Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux >> variables modifiables via sysctl: >> >> Pour l'instant les variables redirects sont à 1 : >> net.ipv4.conf.all.send_redirects >> net.ipv4.conf.default.send_redirects >> net.ipv4.conf.all.accept_redirects >> net.ipv4.conf.all.secure_redirects >> net.ipv4.conf.default.accept_redirects >> net.ipv4.conf.default.secure_redirects >> >> est ce intéressant de les mettre à 0 ? > > Déjà, seule une machine fonctionnant en routeur (ip_forward=1, > conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même > ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple > hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est > juste sous-optimal. De toute façon il est rare qu'un réseau contienne > plusieurs passerelles, donc la probabilité d'en recevoir est réduite. > Comme les ICMP redirect peuvent être exploités par une machine du réseau > local pour détourner du trafic, il peut être intéressant d'un point de > vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de > détourner du trafic dans un réseau local, notamment avec les attaques > basées sur ARP qu'iptables ignore complètement. > ok. merci pour l'explication. donc j'ai mis: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 Bonne soirée, Guillaume -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
