Re: Script firewall

To: debian-user-french@lists.debian.org
Cc: debian-user-french@lists.debian.org
Subject: Re: Script firewall
From: franck <joncourt_franck@yahoo.co.uk>
Date: Sun, 28 Jan 2007 17:27:33 +0100
Message-id: <[🔎] 45BCCEF5.8050500@yahoo.co.uk>
In-reply-to: <[🔎] 45BCBB7E.2080706@plouf.fr.eu.org>
References: <[🔎] 45B5298C.2040703@yahoo.co.uk> <[🔎] 45B54D22.9010506@plouf.fr.eu.org> <[🔎] 45B5BC44.1080404@yahoo.co.uk> <[🔎] m3iresiaxc.fsf@neo.luffy.cx> <[🔎] 45BBB089.5000009@plouf.fr.eu.org> <[🔎] 45BC7806.6050400@yahoo.co.uk> <[🔎] 45BCBB7E.2080706@plouf.fr.eu.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pascal Hambourg wrote:
> franck a écrit :
>>
>> Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
>> complique. Il y a ce qui est appele les blind icmp attacks. Le type
>> source quench est utilise pour ralentir les connexions,
> 
> C'est bien pour cette raison que je recommande de le bloquer.
> 
>> de meme, les
>> protocol unreachable, port unreachable, et fragmentation needed peuvent
>> couper une connexion.
> 
> L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
> 
>> Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
>> tous les types ICMP.
> 
> Je crains qu'on ne puisse faire autrement que s'en remettre à la
> vérification du numéro de séquence TCP par le suivi de connexion de
> Netfilter pour classer un message d'erreur ICMP comme RELATED ou
> INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une
> connexion TCP.
> 
>> Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
>> les deux juges ; je ne m'y connais pas assez.
> 
> Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère,
> ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
> 
> 

Finalement, je vais enlever le filtrage sur les TCP flags a moins que
j'arrive un jour a etre certains du fonctionnement.
Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le
type ICMP source-quench, et autoriser les autres pour le bon
fonctionnement, en faisant confiance a netfilter pour la redirection des
paquets en INVALID.

Merci beaucoup pour les avis de chacun.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFvM70xJBTTnXAif4RAnpbAKDEbrdhlQz7IHI8iXsP75dMH4YA2wCgnSDY
9EZ1A7G8Ic8b0DLR0qbwjiY=
=mjH0
-----END PGP SIGNATURE-----

		
___________________________________________________________ 
Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal 
http://uk.docs.yahoo.com/nowyoucan.html

Reply to:

References:
- Script firewall
  - From: franck <joncourt_franck@yahoo.co.uk>
- Re: Script firewall
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Script firewall
  - From: franck <joncourt_franck@yahoo.co.uk>
- Re: Script firewall
  - From: Vincent Bernat <bernat@luffy.cx>
- Re: Script firewall
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Script firewall
  - From: franck <joncourt_franck@yahoo.co.uk>
- Re: Script firewall
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Configuration simplissime et solide pour les nuls
Next by Date: Re: Configuration simplissime et solide pour les nuls
Previous by thread: Re: Script firewall
Next by thread: ATI, pilote proprio et 2.6.18
Index(es):
- Date
- Thread