Que pensez vous de mes =?iso-8859-1?B?cuhn?= =?iso-8859-1?Q?les?= iptables

Mon, 18 Nov 2002 10:31:19 -0600 

Bonsoir tout le monde,

je me suis fait quelques r�gles pour iptables et j'aimerai avoir votre
avis sur ce que j'ai fait, � savoir si �a va se r�v�ler efficace et si
vous voyez des erreurs grossi�res.
Mes besoins sont les suivants :
- Acc�der � tout ce que je veux depuis localhost vers ce que je veux
- Activ� l'antispoofing du noyau
- Bloquer les ICMP
- Rejeter autant que possible les paquets non r�guliers
- Autoriser la connexion au port 4662 en tcp (c'est pour avoir un bon
ID dans EDonkey)
- Que Exim/Fetchmail/Procmail fonctionne sans probl�me, c'est � dire
pouvoir envoyer et recevoir des mails locaux, rapatrier depuis mes
comptes pop distants.
- Pouvoir uploader en DCC et me connecter � IRC sans ce long temps
d'attente tr�s ennuyeux au moment de l'ident (lorsque le firewall est
en service)

Il est noter que j'ai un unique PC que je ne partage donc pas ma
connexion ni quoi que ce soit.

Voici donc mes r�gles :

#!/bin/sh
# Pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
    for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
      echo 1 > $filtre
    done
fi

# Pas de ICMP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Vidage d'anciennes r�gles
iptables -F
iptables -t nat -F

# Boucle locale
iptables -i lo -A INPUT -j ACCEPT

# Paquets non r�guliers
iptables -A INPUT --fragment -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Paquets correspondants � une connexion
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Paquets sortants
iptables -A OUTPUT -m state --state NEW -j ACCEPT

# autorisation de connection au serveur MAIL
iptables -A INPUT -p tcp --dport 25 -j ACCEPT  

# enlever le firewalling pour edonkey
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

# upload en DCC
iptables -I INPUT -m state --state RELATED -j ACCEPT

Merci pour votre attention et votre aide

PS : si vous savez o� trouver de bons exemples de scripts
correspondant � mon cas je suis preneur (j'ai trouv� des tas
d'exemples mais c'est toujours des scripts tr�s pouss�s pour des
r�seaux d�j� cons�quent avec DMZ etc)
-- 
Mail       : Bounga at altern.org
Clef GPG   : http://linuxpower.free.fr/bounga.asc

Répondre à