Pascal Hambourg a écrit :
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas forcément et il y aura un trou.Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce que je ne voulais pas.C'est mal. :-p
Raison : si on oublie d'accepter quelque chose, ça va finir par se voir à l'usage.J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé ce que je souhaite.C'est bien. :-)
pour mes test, je suis donc en DROP par defaut, et je mets ca: iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP
Détail qui m'avait échappé, le type ICMP echo-reply est la réponse au ping, donc cette règle s'applique aux paquets de réponse au ping et non de requête. Je ne pense pas que ce soit ce que tu souhaites.
Un dernier complément : il peut être souhaitable de limiter aussi la taille des paquets de ping (correspondance "length"). Pour un simple test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets. Cependant ça peut être utile dans certains cas particuliers pour débugger des problèmes vicieux de MTU.