Re: [HS] iptables: ICMP et limit

To: debian-user-french@lists.debian.org
Cc: debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: [HS] iptables: ICMP et limit
From: "Le poulpe qui bloppe !" <monpoulpe@gmail.com>
Date: Mon, 1 Jan 2007 13:48:07 +0100
Message-id: <[🔎] ca8ba4880701010448w41838854k2af7ed8803d8b56e@mail.gmail.com>
Reply-to: monpoulpe-nospam@gmail.com
In-reply-to: <4597CD2D.4060401@plouf.fr.eu.org>
References: <ca8ba4880612310452o3d6613d0x14725d81f6284b57@mail.gmail.com> <4597C984.6020008@plouf.fr.eu.org> <4597CD2D.4060401@plouf.fr.eu.org>

2006/12/31, Pascal Hambourg <pascal.mail@plouf.fr.eu.org>:

Pascal Hambourg a écrit :
>
>> Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de
>> ce que je ne voulais pas.
>
> C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.

>> J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
>> d'autorisé ce que je souhaite.
>
> C'est bien. :-)
Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
à l'usage.

>> pour mes test, je suis donc en DROP par defaut, et je mets ca:
>> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m
>> limit --limit 3/minute --limit-burst 5 -j DROP

Détail qui m'avait échappé, le type ICMP echo-reply est la réponse au
ping, donc cette règle s'applique aux paquets de réponse au ping et non
de requête. Je ne pense pas que ce soit ce que tu souhaites.

Un dernier complément : il peut être souhaitable de limiter aussi la
taille des paquets de ping (correspondance "length"). Pour un simple
test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
Cependant ça peut être utile dans certains cas particuliers pour
débugger des problèmes vicieux de MTU.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Merci beaucoup, ca marche.
C'est simplement 2 trucs qui me bloquaient.
D'une part, j'avais une regle etrange plus haut pour mon pc clinet.
D'autre part, vu que je suis en DROP par defaut partout, autoriser INPUT ne suffisait pas,
J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone).

Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
Car je lis partout que le type de protocole peut etre dangeureux sur internet, et malheureusement, je n'ai pas encore trouvé quels sont exactement les types à autoriser, c'est en cours de recherche avec les rfc.
Pour l'instant, je dois autoriser le ping pour un copain qui me monitore via nagios.
Et ensuite, j'aimerais autoriser les requettes icmp relative aux rfc du DNS.

Merci pour l'explication sur les limites, maintenant que j'ai compris, je sort ma calculette pour trouver les limites qui me plaisent ;)

BONNE ANNEE !

Reply to:

Follow-Ups:
- Re: [HS] iptables: ICMP et limit
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: client mail capable de grouper differents threads initiés par un nom d'expediteur précis mais en developpant tous ces threads
Next by Date: Re: Firefox et Debian
Previous by thread: Re: client mail capable de grouper differents threads initiés par un nom d'expediteur précis mais en developpant tous ces threads
Next by thread: Re: [HS] iptables: ICMP et limit
Index(es):
- Date
- Thread