Pascal Hambourg a écrit :
Salut, on4hu a écrit :perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3 routeurs l' un derrière l'autre ????Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modemSi tu as la recette pour passer une Livebox en bridge, je pense que ça intéressera du monde.2) utilise ton routeur WRT54GLC'est bien ce que ThierryB a annoncé avoir l'intention de faire.3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC d'ailleursBen voyons...4) utiliser le WiFi du WRT54GLC'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Exactement tout bon pour Pascal lol :-)
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :Même si ca n'utilise pas explicitement une debian, je pense que l'on peut me répondre sur la liste.Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur une Debian. ;-)Au niveau de la config iptables, j'ai certaines règles que j'hésite à mettre car je ne suis pas sure de leur utilités: # Refuser les adresses sources falsifiées ou non routables # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filterAttention : rp_filter n'est activé pour une interface donnée que s'il est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/. D'autre part, il n'a pas pour but de "refuser les adresses sources falsifiées ou non routables" mais de rejeter les paquets dont l'adresse source n'est pas routée via l'interface d'arrivée.
Euh, tu peux juste me donner un petit exemple concret?pq j'ai du mal à comprendre le fait de "rejeter les paquets dont l'adresse source n'est pas routée via l'interface d'arrivée"
# Journaliser les adresses sources falsifiées ou non routables # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # Ignorer les messages de diffusion ICMP # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Ne pas envoyer de messages redirigés # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirectsIl s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en envoyer.
Euh, j'avais recopié ca d'un site mais là, je ne me rappelle plus ce que représentent des messages redirigés.
# Anti Flood # iptables -N syn-flood # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN# iptables -A syn-flood -j DROP4 TCP SYN par seconde me paraît très faible.
Tu me conseilles de mettre combien?
# Rejets # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable Je me dis que ces règles de securité peuvent pour un simple nat classique mais pour une double nat, peut-etre que la livebox, filtrera ces paquets parasites non?Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle absolu sur elle !
Ok, merci pour tout :-)