Re: Iptable et DNS Local :(

To: debian-user-french@lists.debian.org
Subject: Re: Iptable et DNS Local :(
From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
Date: Sat, 30 Apr 2005 02:05:32 +0200
Message-id: <[🔎] 4272CBCC.6060503@plouf.fr.eu.org>
In-reply-to: <[🔎] 20050429211132.GA5185@dudu.dynalias.net>
References: <[🔎] 427085F6.5070600@libertysurf.fr> <[🔎] 4270C0B8.8020705@plouf.fr.eu.org> <[🔎] 4270C942.2090001@libertysurf.fr> <[🔎] 427155BE.3030106@plouf.fr.eu.org> <[🔎] 20050429211132.GA5185@dudu.dynalias.net>

David Dumortier a écrit :

Le Thu Apr 28 2005 à 11:29:34PM +0200, Pascal@plouf dit :
AMA il vaut mieux gérer explicitement les différents types de requêtesICMP et laisser la règle suivante s'occuper des ICMP qui sont desréponses ou des messages d'erreur relatifs à des connexions existantes.
# ICMP
# Autorise tout en local
iptables -A INPUT -i $LAN -p icmp -j ACCEPT
iptables -A OUTPUT -o $LAN -p icmp -j ACCEPT
iptables -A FORWARD -i $LAN -o $EXT -p icmp -j ACCEPT


Je fais pareil, j'ai confiance en mon réseau. ;-)

#iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type source-quench -j ACCEPT
iptables -A FORWARD -i $EXT -o $LAN -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Je suppose qu'il s'agit plutôt du type echo-reply, la réponse au ping. Sila machine fait du NAT, il est peu courant que les requêtes de pingsoient redirigées vers le réseau local.

iptables -A INPUT -i $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT

Il manque l'indispensable time-exceeded que l'on attend notamment enréponse à un traceroute. Et chaque type est à prendre en compte à la foisdans INPUT et dans FORWARD.

Aussi, AMA une gestion saine des ICMP doit prendre en compte les états dusuivi de connexion :

- echo-request -> NEW
- echo-reply -> ESTABLISHED

- erreurs (destination-unreachable, source-quench, parameter-problem,time-exceeded) -> RELATED

- le reste : inutile ou potentiellement néfaste (ex: redirect) -> DROP

# Rejète les ICMP "dangereux" vers l'extèrieur [1], [2]
# [3] pour les limites
iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT

Euh, il ne vaudrait pas mieux limiter les echo-request dans INPUT plutôtque les echo-reply dans OUTPUT ?

iptables -A OUTPUT -o $EXT -p icmp --icmp-type source-quench -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp --icmp-type host-unreachable -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -o $EXT -p icmp -j DROP


Pas très utile après la règle du début qui accepte tous les ICMP dans OUTPUT.

Si quelqu'un peut m'expliquer le source-quench je suis un peu feneant sur
les RFC ...

Une machine peut l'envoyer quand elle détruit un paquet ou risque de lefaire à cause par exemple d'un buffer de réception plein. Le but est dedemander à l'expéditeur de ralentir.

et le rejet (logs-fi est ma règle de "log and drop") :
iptables -A logs-fi -j REJECT --reject-with icmp-port-unreachable

Pour ma part j'aime bien moduler le type d'erreur en fonction du type depaquet, par exemple :

- TCP -> tcp-reset
- UDP -> icmp-port-unreachable
- autre -> icmp-proto-unreachable

Le tout avec des limitations en cas de flood.

Reply to:

References:
- Iptable et DNS Local :(
  - From: Troumad <troumad@libertysurf.fr>
- Re: Iptable et DNS Local :(
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
- Re: Iptable et DNS Local :(
  - From: Troumad <troumad@libertysurf.fr>
- Re: Iptable et DNS Local :(
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
- Re: Iptable et DNS Local :(
  - From: David Dumortier <david.dumortier@dudu.dynalias.net>

Prev by Date: psaux marche plus
Next by Date: Re: psaux marche plus
Previous by thread: Re: Iptable et DNS Local :(
Next by thread: Debian - Authentification ldap - montage lecteur reseau
Index(es):
- Date
- Thread