DEFFONTAINES Vincent wrote:
C'est (je pense) une tr�s mauvaise suggestion qui n�glige les capacit�s de Connection Tracking de netfilter et la gestion des �tats. Avec une r�gle comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas partie d'une connection TCP �tablie, je peux lui positionner avec des flags TCP n'importe comment, et il passera le firewall ! Le filtrage IP sous linux a grandement �volu� depuis les noyaux 2.2 et ipchains, mettez-vous � jour! Je sugg�re pour commencer (en laissant bien s�r les policies sur DROP) : iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Et il y a beaucoup mieux, et plus complet, � faire!
On peut aussi supprimer les paquets "NEW" et "ESTABLISHED" incorrectes : iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp --syn -m state --state ESTABLISHED -j DROP Mes 2 cts. :o) -- ============================================== | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===========================Debian=GNU/Linux===
