Re: IPTABLES FILTRAGE PAR IP

[Daniel Huhardeaux <no-spam@tootai.net>]

Quentin Carbonneaux a écrit :

> On Thu, Dec 22, 2005 at 12:50:59PM +0100, Pascal@plouf wrote:
>  
>
> > Quentin Carbonneaux a écrit :
> >    
> >
> > > Pour faire un 'FireWall' en 10 minutes qui fonctionne (ce que j'ai fait)
> > > :
> > > http://www.hackinglinuxexposed.com/articles/20030703.html
> > >      
> > Bof. Ne pas utiliser le suivi de connexion est AMA une erreur. Il n'y a 
> > qu'à voir les contorsions nécessaires pour à peu près contrôler les 
> > protocoles autres que TCP.
> >
> >    
> Précise ta réponse et donne nous des liens sur des articles plus
> intéressants sur la conception de firewalls avec les iptables. J'ai trouvé ce tutorial
> bien car il permet de mettre en place une machine relativement protégée
> des attaques les plus communes : toute conection entrente TCP et UDP est refusée
> sauf pour certains services.
>
> Je ne connais pas tellement le fonctionnement des "bons" firewalls, je
> pense que je ne suis pas le seul alors si tu pouvais nous informer :).
>  
http://www.netfilter.org/

Il faut que des flux de type liés à une connexion initiale puissent 
également passer le firewall, les ports utilisés n'étant dans ce cas pas 
connus. Un exemple est la VoIP: le signal s'effectue sur un port défini 
(5060 pour SIP, 1720 pour H323) mais le flux audio passe par des ports 
ouverts après  la synchronisation. Si le firewall bloque, ce flux audio 
ne passera pas: il est très courant d'entrendre dire "mon correspondant 
m'entend mais moi je ne l'entends pas" La réponse on la connait 
maintenant ;-)


--
Daniel  Huhardeaux       _____ ____ ____ _____ _____ _
enum    +48 32 285 5276 (_  __) _  ) _  (_  __) _  _(_)
iaxtel   1-700-849-6983  / / / // / // / / / / /_/ / /
sip/iax:callto 101@voip./_/ ( ___( ___/ /_/ (_/ (_/_/.net    FWD# 422493