[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: config iptables d'un routeur à base iptables derrière une livebox

on4hu a écrit :
non c'est toi qui a raison, mais cela implique que le PC doit rester sous tension.. je ne trouve pas cette solution rentable mais ce n'est que mon avis 

LOL, quel pc?
Je ne comprends pas ta reflexion: j'ai juste 2 routeurs au lieu d'un, quel est le rapport avec les eventuels pcs du réseau?? 



Le Jeudi 21 Septembre 2006 18:52, Thierry B a écrit :

on4hu a écrit :

1 = LB
2 = Linksys
3 =  iptable de cette machine Linux

Désolé, c'est peut-etre moi qui me suis mal exprimé mais justement
iptables je l'utilise avec le linksys (c'est pas pour rien, que je l'ai
flashé avec openwrt qui est un formware linux) enfin apparemment, Pascal
avait compris :-)


Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :

Salut,

on4hu a écrit :

perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????

Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.


1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem

Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.


2) utilise ton routeur WRT54GL

C'est bien ce que ThierryB a annoncé avoir l'intention de faire.


3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs

Ben voyons...


4) utiliser le WiFi du WRT54GL

C'est bien ce que ThierryB a annoncé avoir l'intention de faire.


Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :

Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.

Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)


Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.


  # Journaliser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

  # Ignorer les messages de diffusion ICMP
  # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

  # Ne pas envoyer de messages redirigés
  # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.


 # Anti Flood
    # iptables -N syn-flood
    # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
    # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
    # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN # iptables -A syn-flood -j DROP

4 TCP SYN par seconde me paraît très faible.


   # Rejets
     # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
     # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?

Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
Reply to: