Re: Firewall

To: Debian <debian-user-french@lists.debian.org>
Subject: Re: Firewall
From: Olivier Weinstoerffer <olivier.weinstoerffer@adhoc.ag>
Date: Thu, 19 Dec 2002 14:33:00 +0100
Message-id: <[🔎] 3E01CA8C.9090204@adhoc.ag>
References: <[🔎] 51341B7FA34CD2119FA20008C7289B1C051C1BD8@panoramix.coe.int>

DEFFONTAINES Vincent wrote:

-----Original Message-----
From: Olivier Weinstoerffer [mailto:olivier.weinstoerffer@adhoc.ag]
Sent: Thursday 19 December 2002 11:34
To: Debian
Subject: Re: Firewall


essaye plutot un truc du genre

#politique par default
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#vidage des tables
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

#connection pop vers ton server
#authorise les communication entre un port client (>1024) et 
le port pop 
(110)

iptables -A INPUT  -p tcp --dport 110 --sport 1024: -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1024: -sport 110 -j ACCEPT


C'est (je pense) une très mauvaise suggestion qui néglige les capacités de
Connection Tracking de netfilter et la gestion des états. Avec une règle
comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas
partie d'une connection TCP établie, je peux lui positionner avec des flags
TCP n'importe comment, et il passera le firewall !

oui mais pas la pile tcp/ip de linux!

D'apres ce que j'ai compris il ne s'aggit pas d'un firewall relay mais d'un firewall local dont le seul but est de proteger le server sur lequel il est installé. Le fait que la connection soient etablie ne joue pas puisque justement on veut que l'exterieur puisse etablir une connection vers ce port. La regle est donc la meme pour les connectins etablies ou pas.
Ca peut etre utile pour epecher les connections sortantes au cas ou la machine ai ete piratée (mais dans ce cas la le pirate pourra surement desactiver le firewall). Et pour empecher les connections sortantes un iptables -A OUTPUT --syn -j DROP est moins lourd pour le systeme.
Par contre le fait de dropper les paquets invalides est une bonne chose, meme si je suis sure que la pile tcp de linux le fera tres bien sans ca, c'est juste un peu plus propre.


Le filtrage IP sous linux a grandement évolué depuis les noyaux 2.2 et
ipchains, mettez-vous à jour!

Je suggère pour commencer (en laissant bien sûr les policies sur DROP) :

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Et il y a beaucoup mieux, et plus complet, à faire!

Je suggère une lecture attentive des howtos sur http://www.netfilter.org

Vincent

Reply to:

References:
- RE: Firewall
  - From: DEFFONTAINES Vincent <Vincent.DEFFONTAINES@coe.int>

Prev by Date: Re: apm bios not found.
Next by Date: Re: Problème avec apt-get :(
Previous by thread: Re: Firewall
Next by thread: pilotes Nvidia (suite)
Index(es):
- Date
- Thread