Re: config iptables d'un routeur à base iptables derrière une livebox

To: debian-user-french@lists.debian.org
Subject: Re: config iptables d'un routeur à base iptables derrière une livebox
From: Thierry B <debian@thierry.eu.org>
Date: Thu, 21 Sep 2006 19:11:46 +0200
Message-id: <[🔎] 4512C7D2.3060106@thierry.eu.org>
In-reply-to: <[🔎] 4512A53E.9030207@plouf.fr.eu.org>
References: <[🔎] 451253A4.5030105@thierry.eu.org> <[🔎] 200609211156.25006.on4hu@belgacom.net> <[🔎] 4512A53E.9030207@plouf.fr.eu.org>

Pascal Hambourg a écrit :

Salut,

on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui tedonnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partiemodem
Si tu as la recette pour passer une Livebox en bridge, je pense que çaintéressera du monde.
2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PCd'ailleurs
Ben voyons...
4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir surune Debian. ;-)
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'ilest à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.D'autre part, il n'a pas pour but de "refuser les adresses sourcesfalsifiées ou non routables" mais de rejeter les paquets dont l'adressesource n'est pas routée via l'interface d'arrivée.
  # Journaliser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

  # Ignorer les messages de diffusion ICMP
  # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

  # Ne pas envoyer de messages redirigés
  # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Ilest AMA plus utile de les ignorer (accept_redirect=0) que de ne pas enenvoyer.
 # Anti Flood
    # iptables -N syn-flood
    # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
    # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -jRETURN
    # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
   # Rejets
     # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
     # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer quela Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôleabsolu sur elle !

Re,

Puisqu'on y est, tu pourrais qme dire ce que tu penses ue de mes autrerègles iptables de ce linksys si ca t'embetes pas? (j'ai enlevé ce donton avait déja parlé precedemment)


# Reset des tables

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
#iptables -t mangle -F
#iptables -t mangle -X

# Bloquer tout le trafic
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

 # Pas de filtrage sur l'interface de "loopback"
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

# J'autorise les requetes ICMP
    iptables -A INPUT -p icmp -j ACCEPT

# J'autorise le ssh sur le routeur de l'exterieur
      iptables -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies

iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -jACCEPT

# Resoudre les eventuels problèmes de MTU (je sais pas si c'estnecessaire aussi en second routeur)# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS--clamp-mss-to-pmtu


# J'accepte les connexions du wan vers lan d'une connexion deja etablie

iptables -A FORWARD -i $WAN -m state --state RELATED,ESTABLISHED-j ACCEPT

# Bloquer les requetes netbios du lan vers le net (y'a que des machineswindows lol)

    iptables -A FORWARD -i $LAN -p tcp --sport 135:139 -o $WAN -j DROP
    iptables -A FORWARD -i $LAN -p udp --sport 135:139 -o $WAN -j DROP

# On accepte tout ce qui vient du réseau local
     iptables -A INPUT -i $LAN -j ACCEPT
     iptables -A FORWARD -i $LAN -j ACCEPT

 # Masquarade
    iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE


Merci encore :-)

Reply to:

Follow-Ups:
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- config iptables d'un routeur à base iptables derrière une livebox
  - From: Thierry B <debian@thierry.eu.org>
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: on4hu <on4hu@belgacom.net>
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: config iptables d'un routeur à base iptables derrière une livebox
Next by Date: Installation scanner parallele Plustek - erreur modprobe
Previous by thread: Re: config iptables d'un routeur à base iptables derrière une livebox
Next by thread: Re: config iptables d'un routeur à base iptables derrière une livebox
Index(es):
- Date
- Thread