Re: config iptables d'un routeur à base iptables derrière une livebox
Pascal Hambourg a écrit :
Salut,
on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
Ben voyons...
4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN
# iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
Re,
Puisqu'on y est, tu pourrais qme dire ce que tu penses ue de mes autre
règles iptables de ce linksys si ca t'embetes pas? (j'ai enlevé ce dont
on avait déja parlé precedemment)
# Reset des tables
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
#iptables -t mangle -F
#iptables -t mangle -X
# Bloquer tout le trafic
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# J'autorise les requetes ICMP
iptables -A INPUT -p icmp -j ACCEPT
# J'autorise le ssh sur le routeur de l'exterieur
iptables -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT
# Resoudre les eventuels problèmes de MTU (je sais pas si c'est
necessaire aussi en second routeur)
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A FORWARD -i $WAN -m state --state RELATED,ESTABLISHED
-j ACCEPT
# Bloquer les requetes netbios du lan vers le net (y'a que des machines
windows lol)
iptables -A FORWARD -i $LAN -p tcp --sport 135:139 -o $WAN -j DROP
iptables -A FORWARD -i $LAN -p udp --sport 135:139 -o $WAN -j DROP
# On accepte tout ce qui vient du réseau local
iptables -A INPUT -i $LAN -j ACCEPT
iptables -A FORWARD -i $LAN -j ACCEPT
# Masquarade
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
Merci encore :-)
Reply to: