Le Lundi 3 Juin 2002 19:05, vous avez écrit :
> On peut encore beaucoup l'ameliorer notamment au niveau du
> comportement par défaut qui est trop... gentil ! :)
> * snip *
> $IPTABLES -P INPUT ACCEPT
> $IPTABLES -F INPUT
> $IPTABLES -P OUTPUT ACCEPT
> $IPTABLES -F OUTPUT
> $IPTABLES -P FORWARD ACCEPT
> $IPTABLES -F FORWARD
La vache, je veux que c'est « gentil » ! Perso, ma politique par défaut
pour les 3 chaînes est DROP (y a pas de raison ¡No pasarán!). Ensuite,
je rajoute un truc du style
iptables -A OUTPUT -j ACCEPT -p ALL -s $ip_du_fw
iptables -A INPUT -d $ip_du_fw -j ACCEPT -m state -p ALL \
--state=ESTABLISHED,RELATED
pour pouvoir sortir (et le premier qui vient me dire que le -p ALL
c'est débile parce qu'on ne va pas voir de connexions en UDP va avoir
des problèmes :-) En plus, avec iptables, même les protocoles les plus
ch..nts comme FTP se règlent en deux secondes sans ouvrir des tonnes de
ports, alors autant fermer tout ce qu'on peut dès le départ (ou ai-je
raté un épisode ?)...
> $IPTABLES -A FORWARD -p tcp --destination-port 80 -m state --state
> NEW,INVALID -j ACCEPT
> $IPTABLES -A FORWARD -p tcp --destination-port 21 -m state --state
> NEW,INVALID -j ACCEPT
^^^^^^^
Euuuhh ? ! ? Les paquets invalides, ça serait pas mieux de les
gicler ?
> $IPTABLES -A FORWARD -p tcp --source-port 80 -m state --state RELATED
> -j ACCEPT
> $IPTABLES -A FORWARD -p tcp --source-port 21 -m state --state RELATED
> -j ACCEPT
Il faudrait pas ESTABLISHED en plus de RELATED ici ?
Sinon, je te suggère aussi d'éviter le forgeage d'IP. Je me suis
contenté des trois lignes suivantes :
iptables -A PREROUTING -i ppp0 -j DROP -s 10.0.0.0/8 -t mangle
iptables -A PREROUTING -i ppp0 -j DROP -s 172.16.0.0/12 -t mangle
iptables -A PREROUTING -i ppp0 -j DROP -s 192.168.0.0/16 -t mangle
Tu peux aussi rajouter 127.0.0.0/8, je doute que les Martiens puissent
passer par ton interface PPP ;-)
Enfin voilà, c'est les premiers trucs qui me passent par l'esprit, mais
vérifie quand même bien tout, je suis une b... en TCP/IP (et donc en
pare-feux), mais j'espère que ça pourra t'aider. En tout cas,
j'insiste : les -P ACCEPT partout (j'ouvre tout et je ferme au coup par
coup) ça me paraît très « peau de banane », un de ces jours tu vas
ouvrir un service que tu ne penseras pas à verrouiller et crac !...
Et bonne chance à toi (d'ailleurs, ma nouvelle cnx est arrivée avec son
IP fixe, du coup moi aussi je m'amuse un peu avec le pare-feu ce
soir :-)
PS : je suis le seul à penser qu'un fichier de conf plus compréhensible
comme sur les *BSD serait une bonne chose pasque la syntaxe iptables
est vraiment indigeste ?
+++
--
[ Jacques Caruso <[EMAIL PROTECTED]> Développeur PHP ]
[ Monaco Internet http://monaco-internet.mc/ ]
[ Tél : (+377) 93 10 00 43 Clé PGP : 0x41F5C63D ]
[ Timeo Microsoft et dona sourcecode -- Virgile, l'Énéide (ou presque) ]
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
