Que pensez vous de mes règles iptables

To: Debian-user-fr <debian-user-french@lists.debian.org>
Subject: Que pensez vous de mes règles iptables
From: "Nicolas C." <Bounga-NO_SPAM@altern.org>
Date: Mon, 18 Nov 2002 17:31:04 +0100
Message-id: <[🔎] 20021118163104.GA28946@bounga.is-a-geek.net>
Mail-followup-to: "Nicolas C." <Bounga-NO_SPAM@altern.org>, Debian-user-fr <debian-user-french@lists.debian.org>

Bonsoir tout le monde,

je me suis fait quelques règles pour iptables et j'aimerai avoir votre
avis sur ce que j'ai fait, à savoir si ça va se révéler efficace et si
vous voyez des erreurs grossières.
Mes besoins sont les suivants :
- Accéder à tout ce que je veux depuis localhost vers ce que je veux
- Activé l'antispoofing du noyau
- Bloquer les ICMP
- Rejeter autant que possible les paquets non réguliers
- Autoriser la connexion au port 4662 en tcp (c'est pour avoir un bon
ID dans EDonkey)
- Que Exim/Fetchmail/Procmail fonctionne sans problème, c'est à dire
pouvoir envoyer et recevoir des mails locaux, rapatrier depuis mes
comptes pop distants.
- Pouvoir uploader en DCC et me connecter à IRC sans ce long temps
d'attente très ennuyeux au moment de l'ident (lorsque le firewall est
en service)

Il est noter que j'ai un unique PC que je ne partage donc pas ma
connexion ni quoi que ce soit.

Voici donc mes règles :

#!/bin/sh
# Pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
    for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
      echo 1 > $filtre
    done
fi

# Pas de ICMP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Vidage d'anciennes règles
iptables -F
iptables -t nat -F

# Boucle locale
iptables -i lo -A INPUT -j ACCEPT

# Paquets non réguliers
iptables -A INPUT --fragment -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Paquets correspondants à une connexion
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Paquets sortants
iptables -A OUTPUT -m state --state NEW -j ACCEPT

# autorisation de connection au serveur MAIL
iptables -A INPUT -p tcp --dport 25 -j ACCEPT  

# enlever le firewalling pour edonkey
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

# upload en DCC
iptables -I INPUT -m state --state RELATED -j ACCEPT

Merci pour votre attention et votre aide

PS : si vous savez où trouver de bons exemples de scripts
correspondant à mon cas je suis preneur (j'ai trouvé des tas
d'exemples mais c'est toujours des scripts très poussés pour des
réseaux déjà conséquent avec DMZ etc)
-- 
Mail 	   : Bounga at altern.org
Clef GPG   : http://linuxpower.free.fr/bounga.asc

Reply to:

Follow-Ups:
- Re: Que pensez vous de mes regles iptables
  - From: Jeremie Koenig <sprite@sprite.fr.eu.org>

Prev by Date: Re: iptables et serveur web derrière passerelle
Next by Date: Re: [HS] Je suis victime de spam !!
Previous by thread: urgent : disque externe USB
Next by thread: Re: Que pensez vous de mes regles iptables
Index(es):
- Date
- Thread