Re: [RESOLU] Re: firewall et ntp

To: debian-user-french@lists.debian.org
Subject: Re: [RESOLU] Re: firewall et ntp
From: Bayrouni <bayrouni@brutele.be>
Date: Tue, 20 Dec 2005 10:40:20 +0100
Message-id: <[🔎] 43A7D184.5020804@brutele.be>
In-reply-to: <[🔎] 43A67B93.3080603@mp342.org>
References: <[🔎] 43A55590.8050209@brutele.be> <[🔎] 20051218140038.GA10202@espinasse> <[🔎] 43A57B71.60805@brutele.be> <[🔎] 43A67B93.3080603@mp342.org>

Marc PERRUDIN wrote:



Les regles tcp ne sont pas utilent, tu devrais les supprimés. Si ta
passerelle a une adresse ip public, tu devrais limiter les possibilités
d'acces a ton port 123 aux seules clients de ton réseau : avec la 2eme
et la 4eme lignes, un client qui utilise le port 123 en source
(comportement par defaut de ntpdate) peut interroger ton serveur depuis
n'importe où. Utilise pour cela le module de suivi de connexion (-m
state) pour pouvoir differencier les regles client (ta passerelle
interroge un serveur sur internet) des regles serveur (tes clients
interrogent ta passerelle).


PC B (client de A):
######################
iptables --append INPUT --match tcp --protocol tcp --source
192.168.0.1 --sport 123 --jump ACCEPT

iptables --append INPUT --match udp --protocol udp --source
192.168.0.1 --sport 123 --jump ACCEPT

iptables --append OUTPUT --match tcp --protocol tcp --destination
192.168.0.1 --dport 123 --jump ACCEPT

iptables --append OUTPUT --match udp --protocol udp --destination
192.168.0.1 --dport 123 --jump ACCEPT
#######################################################"



Idem que pour PC A pour ce qui est de TCP. L'utilisation du suivi de
connexion n'est pas aussi utile dans ce cas, car le fait que le serveur
puisse interroger ses clients ne devraient pas poser de probleme dans la
mesure ou tu controles les 2.

A+

Bonjour,

Bien, voilà ce que j'ai fait:

Passerelle en tant que client de serveur horaire externe (internet)
#####################################################################
la passerelle doit pouvoir contacter un serveur ntp donc:
OUTPUT --match udp --protocol udp --destination 0/0 --dport 123 --jump ACCEPT

la passerelle doit laisser entrer les réponses aux requetes faites aux serveurs ntp:
cette règle existe indépendemment de ntp
INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

La passerelle en tant que serveur du réseau local 192.0.0.0/24
###################################################################
la passerelle doit pouvoir accepter les requetes de ces clients locaux:

INPUT --match state --state NEW --protocol udp --source 192.168.0.0/24 --sport 123--jump ACCEPT


la passerelle doit pouvoir repondre à ses clients locaux:
cette règle existe indépendemment de ntp,
OUTPUT 1 --match state --state RELATED,ESTABLISHED --jump ACCEPT

Quelqu'un voit encore quelque chose de trop permissible?

Merci à tous
Bayrouni

Reply to:

Follow-Ups:
- Re: firewall et ntp
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>

References:
- firewall et ntp
  - From: Bayrouni <bayrouni@brutele.be>
- Re: firewall et ntp
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- [RESOLU] Re: firewall et ntp
  - From: Bayrouni <bayrouni@brutele.be>
- Re: [RESOLU] Re: firewall et ntp
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>

Prev by Date: Re: paquets qui demandent à supprimer lors du'n dist-upgrade sous sid
Next by Date: Re: Disparition de données sur un disque dur
Previous by thread: Re: [RESOLU] Re: firewall et ntp
Next by thread: Re: firewall et ntp
Index(es):
- Date
- Thread