[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall

DEFFONTAINES Vincent wrote:



C'est (je pense) une très mauvaise suggestion qui néglige les capacités de
Connection Tracking de netfilter et la gestion des états. Avec une règle
comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas
partie d'une connection TCP établie, je peux lui positionner avec des flags
TCP n'importe comment, et il passera le firewall !

Le filtrage IP sous linux a grandement évolué depuis les noyaux 2.2 et
ipchains, mettez-vous à jour!

Je suggère pour commencer (en laissant bien sûr les policies sur DROP) :

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Et il y a beaucoup mieux, et plus complet, à faire!



On peut aussi supprimer les paquets "NEW" et "ESTABLISHED" incorrectes :

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED -j DROP

iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp --syn -m state --state ESTABLISHED -j DROP

Mes 2 cts. :o)
--
==============================================
|              FREDERIC MASSOT               |
|     http://www.juliana-multimedia.com      |
|   mailto:frederic@juliana-multimedia.com   |
===========================Debian=GNU/Linux===
Reply to: