Merci pour cette réponse complète, je connaissais assez bien le fonctionnement de netfilter (du moins pour les tables INPUT et OUTPUT, je ne me suis pas intéressé au forwarding jusqu'à présent) mais merci pour les indics :) ! Je vais jouer avec les --state maintenant :) On Thu, Dec 22, 2005 at 09:23:21PM +0100, Pascal@plouf wrote: > Quentin Carbonneaux a écrit : > >>>http://www.hackinglinuxexposed.com/articles/20030703.html > >> > >>Bof. Ne pas utiliser le suivi de connexion est AMA une erreur. Il n'y a > >>qu'à voir les contorsions nécessaires pour à peu près contrôler les > >>protocoles autres que TCP. > > > >Précise ta réponse > > Le suivi de connexion (-m state) permet de contrôler finement le trafic > entrant en distinguant les paquets qui créent une nouvelle connexion > (--state NEW, quel que soit le protocole, pas seulement TCP), ceux qui > appartiennent à des connexions établies (--state ESTABLISHED), ceux qui > sont liés à des connexions établies (--state RELATED) comme certains > messages ICMP ou les connexions de données FTP, et ceux qui ne > correspondent à aucune des catégories précédentes (--state INVALID). Il > est donc par exemple élémentaire de n'accepter que le trafic entrant > appartenant ou lié à des connexions établies : > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > Il ne reste plus qu'à accepter au cas par cas les nouvelles connexions > entrantes souhaitées. > > > et donne nous des liens sur des articles plus > >intéressants sur la conception de firewalls avec les iptables. > > Voir les howtos sur http://www.netfilter.org/documentation/index.html > J'ai aussi beaucoup apprécié le tutorial écrit par Oskar Andreasson qui > figure à la rubrique "Tutorials" de cette page. Mais je n'ai jamais > vraiment trouvé de "guide pratique" pour créer ses règles de filtrage > qui réponde totalement à mes besoins, alors je me suis servi de tout ce > que j'ai lu à gauche et à droite pour écrire mes propres règles > iptables. J'ai déposé le résultat de mes cogitations en vrac là : > http://www.plouf.fr.eu.org/bazar/netfilter/ mais ce n'est pas très > documenté. Pour une station ou un serveur en particulier, voir > http://www.plouf.fr.eu.org/bazar/netfilter/firewall/firewall-station.html > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmaster@lists.debian.org > >
Attachment:
signature.asc
Description: Digital signature