Vincent Bernat a écrit :
le lien : http://smhteam.info/upload_wiki/firewall.tar.gzPersonnellement, je ne suis pas fan du surtraitement en ce qui concerne les états. Bon point de traiter ce qui est --state NEW, mais personnellement, je ne ferai pas tout un cinéma avec ce qui est RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela peut t'apporter de mauvaises surprises, notamment par exemple les DNS qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à 123.
D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la limitation des ICMP RELATED car certains types non indispensables (Redirect, Source Quench) peuvent servir à des attaques. Concernant la limitation des ports en RELATED, je ne connais pas d'application qui utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent que des connexions simples avec des états NEW et ESTABLISHED.
Pareil pour le coup de vérifier les TCP flags.
Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas strictement invalides puisqu'il y a une priorité entre flags. RST ayant priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les combinaisons non standard ne peuvent affecter que des piles IP vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de machines qui sont derrière.