Re: [TECH] Serveur web derriere un firewall

Tue, 4 Jun 2002 11:29:15 +0200 

On Mon, 3 Jun 2002, Jacques Caruso wrote:

> Sinon, je te suggère aussi d'éviter le forgeage d'IP. Je me suis 
> contenté des trois lignes suivantes :
> 
> iptables -A PREROUTING -i ppp0 -j DROP -s 10.0.0.0/8 -t mangle
> iptables -A PREROUTING -i ppp0 -j DROP -s 172.16.0.0/12 -t mangle
> iptables -A PREROUTING -i ppp0 -j DROP -s 192.168.0.0/16 -t mangle
> 
> Tu peux aussi rajouter 127.0.0.0/8, je doute que les Martiens puissent 
> passer par ton interface PPP ;-)

voici la liste des netmasks que je bloque (classes
reservees+loopback+classes D et E+broadcast dhcp)

iptables -A INPUT -i eth+ -s 0.0.0.0/8 -j log-and-drop
iptables -A INPUT -i eth+ -s 10.0.0.0/8 -j log-and-drop
iptables -A INPUT -i eth+ -s 127.0.0.0/8 -j log-and-drop
iptables -A INPUT -i eth+ -s 169.254.0.0/16 -j log-and-drop
iptables -A INPUT -i eth+ -s 172.16.0.0/12 -j log-and-drop
iptables -A INPUT -i eth+ -s 192.0.2.0/24 -j log-and-drop
iptables -A INPUT -i eth+ -s 192.168.0.0/16 -j log-and-drop
iptables -A INPUT -i eth+ -s 224.0.0.0/4 -j log-and-drop
iptables -A INPUT -i eth+ -s 240.0.0.0/5 -j log-and-drop
iptables -A INPUT -i eth+ -s 248.0.0.0/5 -j log-and-drop
iptables -A INPUT -i eth+ -s 255.255.255.255/32 -j log-and-drop

"Martians go home":

# Drop XMAS packets
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j log-and-drop
# Drop NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j log-and-drop


> j'insiste : les -P ACCEPT partout (j'ouvre tout et je ferme au coup par 
> coup) ça me paraît très « peau de banane », un de ces jours tu vas 
> ouvrir un service que tu ne penseras pas à verrouiller et crac !...

OUI!

> PS : je suis le seul à penser qu'un fichier de conf plus compréhensible 
> comme sur les *BSD serait une bonne chose pasque la syntaxe iptables 
> est vraiment indigeste ?

effectivement la syntaxe 'pf' d'OpenBSD est bcp plus claire...

--
Vincent RENARDIAS
Directeur Technique
StrongHoldNET / http://www.strongholdnet.com


Linux-Azur :      http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****

Répondre à