Re: [HS] Help pour débuter avec iptables

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Help pour débuter avec iptables
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Fri, 10 Sep 2010 15:39:20 +0200
Message-id: <[🔎] 4C8A3508.5090109@plouf.fr.eu.org>
In-reply-to: <[🔎] i6ckvh$51v$1@dough.gmane.org>
References: <[🔎] i6ckvh$51v$1@dough.gmane.org>

Salut,

giggzounet a écrit :
> 
> suite à des problèmes avec la surcouche firewall apportée par
> firestarter, je me décide à m'intéresser à iptables.

Bravo !

> J'ai tenté ma chance sur la list de
> netfilter...mais bon pas eu de réponse...

J'ai vu "cluster" dans le sujet alors j'ai passé en me disant "houla,
j'y connais rien et ça doit être compliqué".

> j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
> parefeu sur le master node. Naturellement le master doit accepter tout
> ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
> l'extérieur soit filtré à part qqs services comme ssh et http.

Le master se comporte comme un genre de load balancer ? Il fonctionne
plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ?

> pour l'instant j'ai ça:
> 
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :Firewall-1-INPUT - [0:0]
> -A INPUT -j Firewall-1-INPUT
> -A FORWARD -j Firewall-1-INPUT

C'est pas la peine de virer la surcouche si c'est pour faire pareil...

> #
> #
> -A INPUT -j Firewall-1-INPUT
> -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
> --name SSH --rsource -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
> --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
> "SSH_brute_force "
> -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
> --hitcount 4 --rttl --name SSH --rsource -j DROP

Mon conseil : quand on débute, commencer par des choses simples et
basiques : suivi de connexion, filtrage des flux par interface d'entrée
et/ou de sortie, protocole et port. Pour les trucs subtils à base de
"recent" (susceptible de provoquer un auto-DoS si mal maîtrisé), on
verra plus tard.

<couic le reste>
> Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
> des idées...je suis preneur.

Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec
le "cahier des charges" mentionné plus haut. Faut dire qu'il est
tellement vague...

> UNe autre question:
> si je mets ces règles pour iptables. Qu'en est il pour ip6tables ?

C'est indépendant. ip6tables n'est utile que si la machine a une
connectivité IPv6.

> dois je mettre les mêmes rêgles ?

Tu ne pourras pas forcément : les adresses et les types ICMP sont
spécifiques à chacun des deux protocole.

Reply to:

Follow-Ups:
- Re: [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>

References:
- [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>

Prev by Date: Re: [HS] Help pour débuter avec iptables
Next by Date: Re: boîtier ITX
Previous by thread: Re: [HS] Help pour débuter avec iptables
Next by thread: Re: [HS] Help pour débuter avec iptables
Index(es):
- Date
- Thread