Re: [HS] Help pour débuter avec iptables

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Help pour débuter avec iptables
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Tue, 14 Sep 2010 13:35:17 +0200
Message-id: <[🔎] 4C8F5DF5.6050607@plouf.fr.eu.org>
In-reply-to: <[🔎] i6nfjs$lec$1@dough.gmane.org>
References: <[🔎] i6ckvh$51v$1@dough.gmane.org> <[🔎] 4C8A74CA.7040903@plouf.fr.eu.org> <[🔎] i6e47h$n2h$1@dough.gmane.org> <[🔎] 201009110021.43607.debserge@free.fr> <[🔎] i6fbpn$8ad$1@dough.gmane.org> <[🔎] 4C8B43C6.7050207@plouf.fr.eu.org> <[🔎] i6fj3a$mn$1@dough.gmane.org> <[🔎] 4C8B5E80.8070408@plouf.fr.eu.org> <[🔎] i6fuq0$7de$1@dough.gmane.org> <[🔎] 4C8C02D3.4090802@plouf.fr.eu.org> <[🔎] i6nfjs$lec$1@dough.gmane.org>

giggz a écrit :
> 
> pour l'instant j'ai ça:
> -A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
> -A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
> -A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
> -A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT

Les paquets de ces types (types d'erreurs) sont normalement classés dans
l'état RELATED lorsqu'ils sont liés à une connexion existante et INVALID
dans le cas contraire, donc pas besoin de les traiter spécifiquement.

> -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT

Ok pour autoriser le ping en entrée.

> -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT

Normalement classé ESTABLISHED si correspond à une requête émise et
INVALID sinon, donc pas besoin de traiter spécifiquement.

> -A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT

Utile pour une interface d'hôte en autoconf, mais pas pour un routeur.

> -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT

Utile pour un routeur seulement.

> -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT

Ok. Il faut aussi accepter le type neighbour-solicitation.

> mais sur un site j'ai vu des règles plus "fines":
[...]
> # Allow some other types in the INPUT chain, but rate limit.
> ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
> 600/min -j ACCEPT

Ça se défend, notamment dans le cas d'une liaison à débits asymétriques
de type ADSL.

> ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
> 600/min -j ACCEPT

Là par contre, je ne vois pas l'intérêt. Si on reçoit des réponses,
c'est normalement qu'on a envoyé les requêtes et donc qu'on attend ces
réponses. La correspondance avec l'état ESTABLISHED me semble plus
pertinente pour vérifier que ce sont bien des réponses attendues.

> # Allow others ICMPv6 types but only if the hop limit field is 255.
> 
> ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement   -m hl
> --hl-eq 255 -j ACCEPT
> ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation  -m hl
> --hl-eq 255 -j ACCEPT
> ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
> --hl-eq 255 -j ACCEPT
> ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect               -m hl
> --hl-eq 255 -j ACCEPT

La vérification du champ HL (hop limit, équivalent au TTL d'IPv4) à 255
pour les types NDP de portée limitée au lien est une bonne mesure pour
vérifier que ces messages viennent bien d'un voisin du réseau local et
pas de plus loin, même si tout routeur bien constitué ne devrait jamais
retransmettre ces messages.

Reply to:

Follow-Ups:
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Serge Cavailles <debserge@free.fr>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>

Prev by Date: Re: plantages d'emacs 23
Next by Date: Re: pb connexion wifi.
Previous by thread: Re: [HS] Help pour débuter avec iptables
Next by thread: Re: [HS] Help pour débuter avec iptables
Index(es):
- Date
- Thread