Re: Script firewall
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pascal Hambourg wrote:
> Vincent Bernat a écrit :
>>
>>> le lien : http://smhteam.info/upload_wiki/firewall.tar.gz
>>
>> Personnellement, je ne suis pas fan du surtraitement en ce qui
>> concerne les états. Bon point de traiter ce qui est --state NEW, mais
>> personnellement, je ne ferai pas tout un cinéma avec ce qui est
>> RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela
>> peut t'apporter de mauvaises surprises, notamment par exemple les DNS
>> qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à
>> 123.
>
> D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on
> en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la
> limitation des ICMP RELATED car certains types non indispensables
> (Redirect, Source Quench) peuvent servir à des attaques. Concernant la
> limitation des ports en RELATED, je ne connais pas d'application qui
> utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En
> tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent
> que des connexions simples avec des états NEW et ESTABLISHED.
>
>> Pareil pour le coup de vérifier les TCP flags.
>
> Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas
> strictement invalides puisqu'il y a une priorité entre flags. RST ayant
> priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN
> équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les
> combinaisons non standard ne peuvent affecter que des piles IP
> vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de
> machines qui sont derrière.
>
>
Bonjour,
Pour les commentaires, je vous l'accorde, c'est pas tres explicite quand
on rentre dedans. J'ai remedie a cela dans la version sur mon poste.
Les ports 111, 2049 et 32765:32768 comme tu le mentionnais correspondent
bien a la gestion NFS (je me suis base sur le NFS HowTo).
Ensuite pour les ICMP en ESTABLISHED je suis d'accord. Vu que les seules
connexions icmp considerees comme ESTABLISHED sont les echo-reply, il
n'y a aucun risque.
Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
complique. Il y a ce qui est appele les blind icmp attacks. Le type
source quench est utilise pour ralentir les connexions, de meme, les
protocol unreachable, port unreachable, et fragmentation needed peuvent
couper une connexion.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
tous les types ICMP. Si le protocole etait inutile on le saurait.
http://kerneltrap.org/node/5382
J'ai laisse destination unreachable, mais je ne sais plus trop quoi
autoriser/interdire pour que cela fonctionne correctement tout en
evitant au maximum les problemes mentionnes ci-dessus.
Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
les deux juges ; je ne m'y connais pas assez.
- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFvHgFxJBTTnXAif4RApYFAJ9miwe5DtpLBspMxNVi5jLzA3Zg3wCeJZbU
rnIdW2BReY/hk6fIk0PdD4I=
=kovO
-----END PGP SIGNATURE-----
___________________________________________________________
Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal
http://uk.docs.yahoo.com/nowyoucan.html
Reply to: