[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: config iptables d'un routeur à base iptables derrière une livebox

1 = LB
2 = Linksys
3 =  iptable de cette machine Linux



Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :
> Salut,
>
> on4hu a écrit :
> > perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> > donnerais 3 routeurs l' un derrière l'autre ????
>
> Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
>
> > 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> > modem
>
> Si tu as la recette pour passer une Livebox en bridge, je pense que ça
> intéressera du monde.
>
> > 2) utilise ton routeur WRT54GL
>
> C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
>
> > 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> > d'ailleurs
>
> Ben voyons...
>
> > 4) utiliser le WiFi du WRT54GL
>
> C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
>
> > Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
> >>Même si ca n'utilise pas explicitement une debian, je pense que l'on
> >>peut me répondre sur la liste.
>
> Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
> une Debian. ;-)
>
> >>Au niveau de la config iptables, j'ai certaines règles que j'hésite à
> >>mettre car je ne suis pas sure de leur utilités:
> >>
> >># Refuser les adresses sources falsifiées ou non routables
> >>   # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
>
> Attention : rp_filter n'est activé pour une interface donnée que s'il
> est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
> D'autre part, il n'a pas pour but de "refuser les adresses sources
> falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
> source n'est pas routée via l'interface d'arrivée.
>
> >>   # Journaliser les adresses sources falsifiées ou non routables
> >>   # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
> >>
> >>   # Ignorer les messages de diffusion ICMP
> >>   # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> >>
> >>   # Ne pas envoyer de messages redirigés
> >>   # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
>
> Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
> est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
> envoyer.
>
> >>  # Anti Flood
> >>     # iptables -N syn-flood
> >>     # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
> >>     # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
> >>     # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
> >> RETURN # iptables -A syn-flood -j DROP
>
> 4 TCP SYN par seconde me paraît très faible.
>
> >>    # Rejets
> >>      # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
> >>      # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
> >>
> >>Je me dis que ces règles de securité peuvent pour un simple nat
> >>classique mais pour une double nat, peut-etre que la livebox, filtrera
> >>ces paquets parasites non?
>
> Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
> la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
> absolu sur elle !

-- 
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Reply to: