Re: Script firewall
franck a écrit :
Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
complique. Il y a ce qui est appele les blind icmp attacks. Le type
source quench est utilise pour ralentir les connexions,
C'est bien pour cette raison que je recommande de le bloquer.
de meme, les
protocol unreachable, port unreachable, et fragmentation needed peuvent
couper une connexion.
L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
tous les types ICMP.
Je crains qu'on ne puisse faire autrement que s'en remettre à la
vérification du numéro de séquence TCP par le suivi de connexion de
Netfilter pour classer un message d'erreur ICMP comme RELATED ou
INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une
connexion TCP.
Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
les deux juges ; je ne m'y connais pas assez.
Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère,
ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
Reply to: