Re: IPTABLES FILTRAGE PAR IP
Quentin Carbonneaux a écrit :
http://www.hackinglinuxexposed.com/articles/20030703.html
Bof. Ne pas utiliser le suivi de connexion est AMA une erreur. Il n'y a
qu'à voir les contorsions nécessaires pour à peu près contrôler les
protocoles autres que TCP.
Précise ta réponse
Le suivi de connexion (-m state) permet de contrôler finement le trafic
entrant en distinguant les paquets qui créent une nouvelle connexion
(--state NEW, quel que soit le protocole, pas seulement TCP), ceux qui
appartiennent à des connexions établies (--state ESTABLISHED), ceux qui
sont liés à des connexions établies (--state RELATED) comme certains
messages ICMP ou les connexions de données FTP, et ceux qui ne
correspondent à aucune des catégories précédentes (--state INVALID). Il
est donc par exemple élémentaire de n'accepter que le trafic entrant
appartenant ou lié à des connexions établies :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Il ne reste plus qu'à accepter au cas par cas les nouvelles connexions
entrantes souhaitées.
et donne nous des liens sur des articles plus
intéressants sur la conception de firewalls avec les iptables.
Voir les howtos sur http://www.netfilter.org/documentation/index.html
J'ai aussi beaucoup apprécié le tutorial écrit par Oskar Andreasson qui
figure à la rubrique "Tutorials" de cette page. Mais je n'ai jamais
vraiment trouvé de "guide pratique" pour créer ses règles de filtrage
qui réponde totalement à mes besoins, alors je me suis servi de tout ce
que j'ai lu à gauche et à droite pour écrire mes propres règles
iptables. J'ai déposé le résultat de mes cogitations en vrac là :
http://www.plouf.fr.eu.org/bazar/netfilter/ mais ce n'est pas très
documenté. Pour une station ou un serveur en particulier, voir
http://www.plouf.fr.eu.org/bazar/netfilter/firewall/firewall-station.html
Reply to: