Le Mercredi 15 Janvier 2003 15:36, Fr�d�ric Massot a �crit :
> patrice wrote:
> > j'utilise la machine en tant qu'utilisateur de base (divers applications
> > utilis�es)voil� tout, je suis client chez un fournisseur internet
>
> (tisc...)
>
> > autres activit�es qui risquent d'etre plus ennuyeux pour la s�curit�e
>
> de mon
>
> > ordinateur(je crois), c'est l'utilisation de p2p parfois, je joue
>
> aussi � un
>
> > jeu en r�seau(bzflag) de temps en temps... en g�n�ral mes plantages
> > surviennent � ces moments l�... surtout le p2p...
>
> Donc tu n'as pas vraiment besoin de serveur sur ta machine. Un scan nmap
> ne doit rien te retourner. Surtout pas Telnet, comme dans un pr�cedent
> mail. :o)
>
> Tu peux garder Apache sur ta machine pour pouvoir consulter la doc sur
> ta machine. Mais configure Apache pour avoir un seul virtual host sur
> l'adresse 127.0.0.1.
>
> Regarde les fichiers "/etc/hosts.allow" et "/etc/hosts.deny".
> Dans le premier toutes les lignes devraient �tre comment�es, et dans le
> deuxi�me tu dois avoir la ligne "ALL: ALL".
>
dans mon host.allow je n'ai qu'une ligne ouverte (je ne crois pas que le mot
soit vraiment technique, mais j'ai trouv� que celui-ci...)
#-- leafnode begin
leafnode: 127.0.0.1
#-- leafnode end
et dans deny:
# ALL: PARANOID
#-- leafnode begin
leafnode: ALL
#-- leafnode end
je pense que �a doit correspondre aux indications que tu me donnais...
bien que leafnode me fait plutot penser � des applications news... lesquelles
je n'utilise que rarement...
> Apr�s, tu peux utiliser Netfilter, en �crivant un script bash avec des
> r�gles comme :
Netfilter est � mettre dans le noyau ou en module et je m'apercois qu'il n'y
est p�s, donc je vais devoir recompiler mon noyau et l'y ins�rer...
question subsidiaire, c'est risqu� d'aller sur le net sans avoir netfilter?
et shorewall ne fait il pas autant que netfilter? disons, prot�ge t il m�me
si je n'ai pas netfilter?
en tout cas shorewall m'a l'air d'etre en activit�...
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> Diverses r�gles anti-spoofing, blocages des scans, blocage des adresses
> priv�es de classes A, B, C, D, E, etc
>
> iptables -A INPUT -m state --state INVALID -j DROP
> iptables -A OUTPUT -m state --state INVALID -j DROP
>
> iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
> iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
>
> iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED -j DROP
> iptables -A OUTPUT -p tcp --syn -m state --state ESTABLISHED -j DROP
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -i $LOOPBACK_INTERFACE -j ACCEPT
> iptables -A OUTPUT -o $LOOPBACK_INTERFACE -j ACCEPT
>
> # Requetes DNS sortantes
> iptables -A OUTPUT -o $INTERFACE -p udp -s $AD_IP --sport $UNPRIVPORTS
> -d $NAME_SERVER_1 --dport 53 -m state --state NEW -j ACCEPT
>
> # Requetes DNS sortantes
> iptables -A OUTPUT -o $INTERFACE -p udp -s $AD_IP --sport $UNPRIVPORTS
> -d $NAME_SERVER_2 --dport 53 -m state --state NEW -j ACCEPT
>
> # Envoie de mails
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 25 -m state --state NEW -j ACCEPT
>
> # Recuperation du courier en POP
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 110 -m state --state NEW -j ACCEPT
>
> # Acc�s � Usenet
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 119 -m state --state NEW -j ACCEPT
>
> # Acc�s au web
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 80 -m state --state NEW -j ACCEPT
>
>
> etc
merci,
patrice
--
"Vivez comme si vous deviez mourir demain.
Apprenez comme si vous deviez vivre pour toujours"
,. ( . ) . "
(" ) )' ,' ) . (` '`
.; ) ' (( (" ) ;(, (( ( ;) " )"
_"., ,._'_.,)_(..,( . )_ _' )_') (. _..( '..