[HS] iptables: ICMP et limit
Bonjour,
Je travaille actuellement mon script iptables.
Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce que je ne voulais pas.
J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé ce que je souhaite.
Mon serveur fait passerelle de mon rezo local:
WEB <--> eth0 <-->debian<--> eth1 <--> rezo local
Je travaille pour l'instant uniquement sur le ping.
Ce que j'aimerais, c'est que n'importe qui puisse me pinguer depuis n'importe où (WAN et LAN).
Mais que losrsqu'une IP me ping, je reponde aux 4 premieres requettes, puis plus rien pendant 10 minutes.
J'ai donc essayé le systeme de limit et limit-burst, mais c'est relativement trop philosophique pour moi.
Je m'aide du book de rusty et aussi d'une traduction francaise d'un bouquin (http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial
)
pour mes test, je suis donc en DROP par defaut, et je mets ca:
iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP
Probleme: je suis incapable de pinguer.
Si je me mets en ACCEPT par defaut toujours avec la meme ligne, là je ping, mais autant que je veux.
Note: mon pc client du lan est sous windows, donc ping par paquet de 32 octets. Mais meme en forcant ping à envoyer 1 octet par requette, cela ne change rien.
Donc si une bonne ame arrive à m'expliquer comme à un gros debutant le fonctionnement de limit, et de limit-burst, j'en serais tres reconnaissant.
Bonne fin d'année.
Reply to: