[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Help pour débuter avec iptables

giggz a écrit :
> Le 11/09/2010 00:21, Serge Cavailles a écrit :
>>
>> La politique par _defaut_ s'applique en fin de chaîne aux paquets restants 
>> (comprendre qui n'auront pas été acceptés par une règle).

Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
dite "terminale" : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...

> ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
> :INPUT DROP au début je n'ai plus besoin d'avoir:
> -A INPUT -j DROP juste avant le commit, non ?

En effet.

> Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
> après "anti-spoofing" ?

Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
graves troubles de la personnalité).

Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
En effet le suivi de connexion ne tient pas compte de l'interface
d'arrivée des paquets (après tout, le routage sur internet est
asymétrique par nature et une machine multihomée peut recevoir un paquet
légitime par n'importe quelle interface). On pourrait imaginer une
situation où la machine communique avec une machine A sur l'interface
interne, et une machine B extérieure profite de la connexion établie
pour injecter des paquets par l'interface externe en se faisant passer
pour A. Mais cette situation a autant sinon plus de chances de se
produire si la machine usurpée et la machine usurpatrice sont du même
côté, et là le filtrage anti-spoofing n'y peut rien.

> ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
> pour l'instant:
[...]
> -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
[...]
> -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP

Doublon.

> Donc les points qui restent obscurent pour le moment ce sont:
> - peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?

Plutôt -i eth0.

> ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?

Encore moins, eth0:2 n'est pas une interface.

> - la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
> la réponse de Serge, je suppose que je peux la supprimer.

En effet, puisque la politique par défaut de la chaîne est DROP.

> - si je veux permettre à mes noeuds d'avoir internet, il suffit que je
> fasse :
> iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
> 192.168.0.0/16
> sysctl -w net.ipv4.ip_forward=1
> non ?

Il faudra aussi des règles dans FORWARD pour accepter les connexions
routées arrivant par eth0 puisque la politique par défaut est DROP.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT

A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
peuvent être factorisées dans une chaîne utilisateur appelée depuis
INPUT et FORWARD.
Reply to: