Re: portmap/nfs et iptables...
Franck Joncourt <franck.joncourt@wanadoo.fr> a écrit :
> On Mon, Mar 19, 2007 at 03:43:36PM +0100, fred wrote:
>> fred <fredantispam@free.fr> a écrit :
>>
>> > ### redirection vers l'extérieur
>> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j SNAT --to ${ADDR_GATEWAY_NET}
>> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j MASQUERADE
>
> Les deux regles sont similaires. Mais, on preferera utiliser la cible SNAT
> lorsque l'adresse ip de la machine est fixe car cela consomme moins de
> ressources.
Cad ?
Il y a redondance ?
Je peux enlever la seconde ?
>> >
>> > ### règles pour le LAN
>> > ## on accepte les connexions en tant que serveur
>> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper
>> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper
>> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
>> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
>>
>
> En plus de ce que Remi t'a donner comme informations pour fixer les ports
> pour le NFS, j'ajouterais ces ports dans le fichier /etc/services pour
> pouvoir plus facilement regarder mes regles quand je fais un iptables -L
> -v :
Vi, déjà fait pour mountd (je n'utilise que celui-là).
> Hormis le fait que, comme serge la mentionne, aucun traffic n'est
> redirigé vers les chaines LOG_ACCEPT et LOG_DROP, je te conseillerais de
> ne pas tout logguer si tu ne veux pas en avoir des tonnes en cas
> d'attaque 8p!
Vi, c'est ce que je constate ! :-(
> Tu peux utiliser un IDS pour détecter les intrusions.
J'utilise déjà snort.
Merci en tout cas.
--
Fred qui va s'acheter un bouquin sur iptables pour ne pas polluer lduf ;-)
Reply to: