> -----Original Message----- > From: Olivier Weinstoerffer [mailto:[EMAIL PROTECTED] > Sent: Thursday 19 December 2002 11:34 > To: Debian > Subject: Re: Firewall > > > essaye plutot un truc du genre > > #politique par default > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > #vidage des tables > iptables -F INPUT > iptables -F FORWARD > iptables -F OUTPUT > > #connection pop vers ton server > #authorise les communication entre un port client (>1024) et > le port pop > (110) > > iptables -A INPUT -p tcp --dport 110 --sport 1024: -j ACCEPT > iptables -A OUTPUT -p tcp --dport 1024: -sport 110 -j ACCEPT >
C'est (je pense) une tr�s mauvaise suggestion qui n�glige les capacit�s de Connection Tracking de netfilter et la gestion des �tats. Avec une r�gle comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas partie d'une connection TCP �tablie, je peux lui positionner avec des flags TCP n'importe comment, et il passera le firewall ! Le filtrage IP sous linux a grandement �volu� depuis les noyaux 2.2 et ipchains, mettez-vous � jour! Je sugg�re pour commencer (en laissant bien s�r les policies sur DROP) : iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Et il y a beaucoup mieux, et plus complet, � faire! Je sugg�re une lecture attentive des howtos sur http://www.netfilter.org Vincent
