[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re : Re: config iptables d'un routeur à base iptables derrière une livebox

Salut,

J'ai trouvé une petite doc. Si ça peut aider.
http://ceyquem.free.fr/www/articles/passerelle_freebox/passerelle_freebox.htm

Rv

----- Message d'origine -----
De: Thierry B <debian@thierry.eu.org>
Date: Jeudi, Septembre 21, 2006 11:38 pm
Objet: Re: config iptables d'un routeur à base iptables derrière une livebox

> Pascal Hambourg a écrit :
> > Thierry B a écrit :
> > [élagage sévère des citations sans intérêt des messages précédents]
> >>
> >> Puisqu'on y est, tu pourrais qme dire ce que tu penses ue de mes 
> autre 
> >> règles iptables de ce linksys si ca t'embetes pas? (j'ai enlevé 
> ce 
> >> dont on avait déja parlé precedemment)
> > [...]
> >> # J'autorise les requetes ICMP
> >>     iptables -A INPUT -p icmp -j ACCEPT
> > 
> > Cette règle n'accepte pas seulement les requêtes ICMP mais 
> n'importe 
> > quel paquet ICMP. Sachant que les messages d'erreur ICMP 
> (destination 
> > unreachable, time exceeded...) et les réponses ICMP (echo 
> reply...) sont 
> > déjà pris en compte par la règle ESTABLISHED,RELATED plus bas, tu 
> peux 
> > te limiter à autoriser les requêtes ICMP echo (ping) si tu veux 
> que ton 
> > routeur réponde au ping :
> > 
> > iptables -A INPUT -p icmp --icmp-type echo -m state NEW -j ACCEPT
> > 
> > Tu peux éventuellement agrémenter avec des limites en nombre (-m 
> limit) 
> > et en taille (-m length) si tu estimes ne pas être censé recevoir 
> 1000 
> > pings par seconde ni des pings de 8000 octets chacun.
> > 
> >>  # Resoudre les eventuels problèmes de MTU (je sais pas si c'est 
> >> necessaire aussi en second routeur)
> >>     # iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j 
> TCPMSS 
> >> --clamp-mss-to-pmtu
> > 
> > C'est utile seulement si la Livebox ou le BAS-en-face ne fait pas 
> déjà 
> > ce qu'il faut.
> > 
> >> # Bloquer les requetes netbios du lan vers le net (y'a que des 
> >> machines windows lol)
> >>     iptables -A FORWARD -i $LAN -p tcp --sport 135:139 -o $WAN -
> j DROP
> >>     iptables -A FORWARD -i $LAN -p udp --sport 135:139 -o $WAN -
> j DROP
> > 
> > En fait c'est plutôt --dport, même si les paquets Netbios UDP ont 
> > tendance à avoir le même port en source et destination. Il n'est 
> pas 
> > interdit d'avoir les mêmes règles tantôt avec --sport et tantôt 
> avec 
> > --dport. Tu peux ajouter le port 445 utilisé par Windows NT pour 
> SMB 
> > (autre protocole de partage de ressources). Par contre Windows 
> n'utilise 
> > pas le port 136, et le port 135 n'est pas utilisé par Netbios 
> mais par 
> > MS-RPC, mais il est à filtrer quand même vu le nombre et la 
> gravité des 
> > failles ayant affecté ce service. Windows XP utilise aussi des 
> ports 
> > pour l'UPnP, mais je ne me souviens plus lesques (1900 et 5000 je 
> crois).> 
> >>  # Masquarade
> >>     iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
> > 
> > Si l'interface $WAN a une adresse statique, il est plus efficace 
> > d'utiliser SNAT au lieu de MASQUERADE.
> > 
> > 
> 
> Merci :-)
> 
> 
> -- 
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench   
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
> 
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
> listmaster@lists.debian.org
>
Reply to: