Thierry B a écrit :
[élagage sévère des citations sans intérêt des messages précédents]
Puisqu'on y est, tu pourrais qme dire ce que tu penses ue de mes autre
règles iptables de ce linksys si ca t'embetes pas? (j'ai enlevé ce
dont on avait déja parlé precedemment)
[...]
# J'autorise les requetes ICMP
iptables -A INPUT -p icmp -j ACCEPT
Cette règle n'accepte pas seulement les requêtes ICMP mais n'importe
quel paquet ICMP. Sachant que les messages d'erreur ICMP (destination
unreachable, time exceeded...) et les réponses ICMP (echo reply...) sont
déjà pris en compte par la règle ESTABLISHED,RELATED plus bas, tu peux
te limiter à autoriser les requêtes ICMP echo (ping) si tu veux que ton
routeur réponde au ping :
iptables -A INPUT -p icmp --icmp-type echo -m state NEW -j ACCEPT
Tu peux éventuellement agrémenter avec des limites en nombre (-m limit)
et en taille (-m length) si tu estimes ne pas être censé recevoir 1000
pings par seconde ni des pings de 8000 octets chacun.
# Resoudre les eventuels problèmes de MTU (je sais pas si c'est
necessaire aussi en second routeur)
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
C'est utile seulement si la Livebox ou le BAS-en-face ne fait pas déjà
ce qu'il faut.
# Bloquer les requetes netbios du lan vers le net (y'a que des
machines windows lol)
iptables -A FORWARD -i $LAN -p tcp --sport 135:139 -o $WAN -j DROP
iptables -A FORWARD -i $LAN -p udp --sport 135:139 -o $WAN -j DROP
En fait c'est plutôt --dport, même si les paquets Netbios UDP ont
tendance à avoir le même port en source et destination. Il n'est pas
interdit d'avoir les mêmes règles tantôt avec --sport et tantôt avec
--dport. Tu peux ajouter le port 445 utilisé par Windows NT pour SMB
(autre protocole de partage de ressources). Par contre Windows n'utilise
pas le port 136, et le port 135 n'est pas utilisé par Netbios mais par
MS-RPC, mais il est à filtrer quand même vu le nombre et la gravité des
failles ayant affecté ce service. Windows XP utilise aussi des ports
pour l'UPnP, mais je ne me souviens plus lesques (1900 et 5000 je crois).
# Masquarade
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
Si l'interface $WAN a une adresse statique, il est plus efficace
d'utiliser SNAT au lieu de MASQUERADE.