Re: config iptables d'un routeur à base iptables derrière une livebox
Salut,
on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
Ben voyons...
4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
Reply to: