Re: [HS] iptables: ICMP et limit

Le 01/01/07, Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :

Le poulpe qui bloppe ! a écrit :
>
> Je sais que le type echorequest et reply ne concernent que le ping.
> Mais c'est à titre d'entrainement sur les regles avec limit.

C'est quand même une très bonne idée d'accepter le ping avec une limite
(forcément, puisque je le fais ;-) ).

> Car je lis partout que le type de protocole peut etre dangeureux sur
> internet, et malheureusement, je n'ai pas encore trouvé quels sont
> exactement les types à autoriser, c'est en cours de recherche avec les rfc.

Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles-ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.

Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org