Re: Iptable et DNS Local :(
Le Thu Apr 28 2005 à 11:29:34PM +0200, Pascal@plouf dit :
> > # accepter le protocole ICMP (ex.ping)
> > iptables -A INPUT -p icmp -j ACCEPT
>
> AMA il vaut mieux gérer explicitement les différents types de requêtes
> ICMP et laisser la règle suivante s'occuper des ICMP qui sont des
> réponses ou des messages d'erreur relatifs à des connexions existantes.
# ICMP
# Autorise tout en local
iptables -A INPUT -i $LAN -p icmp -j ACCEPT
iptables -A OUTPUT -o $LAN -p icmp -j ACCEPT
iptables -A FORWARD -i $LAN -o $EXT -p icmp -j ACCEPT
#iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type source-quench -j ACCEPT
iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT
# Rejète les ICMP "dangereux" vers l'extèrieur [1], [2]
# [3] pour les limites
iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp --icmp-type source-quench -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp -j DROP
Si quelqu'un peut m'expliquer le source-quench je suis un peu feneant sur
les RFC ...
et le rejet (logs-fi est ma règle de "log and drop") :
iptables -A logs-fi -j REJECT --reject-with icmp-port-unreachable
# Rèfs :
# [1] iptables -p PROTO --help
# [2] MISC HS FireWall 2
# [3] http://www.netfilter.org/
--
David Dumortier
david.dumortier@dudu.dynalias.net
Reply to: