Re: config iptables d'un routeur à base iptables derrière une livebox
non c'est toi qui a raison, mais cela implique que le PC doit rester sous
tension.. je ne trouve pas cette solution rentable mais ce n'est que mon
avis
Le Jeudi 21 Septembre 2006 18:52, Thierry B a écrit :
> on4hu a écrit :
> > 1 = LB
> > 2 = Linksys
> > 3 = iptable de cette machine Linux
>
> Désolé, c'est peut-etre moi qui me suis mal exprimé mais justement
> iptables je l'utilise avec le linksys (c'est pas pour rien, que je l'ai
> flashé avec openwrt qui est un formware linux) enfin apparemment, Pascal
> avait compris :-)
>
> > Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :
> >> Salut,
> >>
> >> on4hu a écrit :
> >>> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> >>> donnerais 3 routeurs l' un derrière l'autre ????
> >>
> >> Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
> >>
> >>> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> >>> modem
> >>
> >> Si tu as la recette pour passer une Livebox en bridge, je pense que ça
> >> intéressera du monde.
> >>
> >>> 2) utilise ton routeur WRT54GL
> >>
> >> C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> >>
> >>> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> >>> d'ailleurs
> >>
> >> Ben voyons...
> >>
> >>> 4) utiliser le WiFi du WRT54GL
> >>
> >> C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> >>
> >>> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
> >>>> Même si ca n'utilise pas explicitement une debian, je pense que l'on
> >>>> peut me répondre sur la liste.
> >>
> >> Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
> >> une Debian. ;-)
> >>
> >>>> Au niveau de la config iptables, j'ai certaines règles que j'hésite à
> >>>> mettre car je ne suis pas sure de leur utilités:
> >>>>
> >>>> # Refuser les adresses sources falsifiées ou non routables
> >>>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
> >>
> >> Attention : rp_filter n'est activé pour une interface donnée que s'il
> >> est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
> >> D'autre part, il n'a pas pour but de "refuser les adresses sources
> >> falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
> >> source n'est pas routée via l'interface d'arrivée.
> >>
> >>>> # Journaliser les adresses sources falsifiées ou non routables
> >>>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
> >>>>
> >>>> # Ignorer les messages de diffusion ICMP
> >>>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> >>>>
> >>>> # Ne pas envoyer de messages redirigés
> >>>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
> >>
> >> Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
> >> est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
> >> envoyer.
> >>
> >>>> # Anti Flood
> >>>> # iptables -N syn-flood
> >>>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
> >>>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
> >>>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
> >>>> RETURN # iptables -A syn-flood -j DROP
> >>
> >> 4 TCP SYN par seconde me paraît très faible.
> >>
> >>>> # Rejets
> >>>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
> >>>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
> >>>>
> >>>> Je me dis que ces règles de securité peuvent pour un simple nat
> >>>> classique mais pour une double nat, peut-etre que la livebox, filtrera
> >>>> ces paquets parasites non?
> >>
> >> Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
> >> la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
> >> absolu sur elle !
--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Reply to: