Re: [HS] Help pour débuter avec iptables

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Help pour débuter avec iptables
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Wed, 15 Sep 2010 16:31:07 +0200
Message-id: <[🔎] 4C90D8AB.7050105@plouf.fr.eu.org>
In-reply-to: <[🔎] i6pu4g$9q6$1@dough.gmane.org>
References: <[🔎] i6ckvh$51v$1@dough.gmane.org> <[🔎] 4C8A74CA.7040903@plouf.fr.eu.org> <[🔎] i6e47h$n2h$1@dough.gmane.org> <[🔎] 201009110021.43607.debserge@free.fr> <[🔎] i6fbpn$8ad$1@dough.gmane.org> <[🔎] 4C8B43C6.7050207@plouf.fr.eu.org> <[🔎] i6fj3a$mn$1@dough.gmane.org> <[🔎] 4C8B5E80.8070408@plouf.fr.eu.org> <[🔎] i6fuq0$7de$1@dough.gmane.org> <[🔎] 4C8C02D3.4090802@plouf.fr.eu.org> <[🔎] i6nfjs$lec$1@dough.gmane.org> <[🔎] 4C8F5DF5.6050607@plouf.fr.eu.org> <[🔎] 4C8F7CC2.1040904@plouf.fr.eu.org> <[🔎] i6oq5h$gti$1@dough.gmane.org> <[🔎] i6pu4g$9q6$1@dough.gmane.org>

giggzounet a écrit :
>
>> Y a des règles pour définir les limites avec -m limit --limit ? ou alors
>> c'est au pif ?

Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...

> Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
> variables modifiables via sysctl:
> 
> Pour l'instant les variables redirects sont à 1 :
> net.ipv4.conf.all.send_redirects
> net.ipv4.conf.default.send_redirects
> net.ipv4.conf.all.accept_redirects
> net.ipv4.conf.all.secure_redirects
> net.ipv4.conf.default.accept_redirects
> net.ipv4.conf.default.secure_redirects
> 
> est ce intéressant de les mettre à 0 ?

Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
juste sous-optimal. De toute façon il est rare qu'un réseau contienne
plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
Comme les ICMP redirect peuvent être exploités par une machine du réseau
local pour détourner du trafic, il peut être intéressant d'un point de
vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
détourner du trafic dans un réseau local, notamment avec les attaques
basées sur ARP qu'iptables ignore complètement.

Reply to:

Follow-Ups:
- Re: [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>

References:
- [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Serge Cavailles <debserge@free.fr>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Help pour débuter avec iptables
  - From: giggz <giggzounet@gmail.com>
- Re: [HS] Help pour débuter avec iptables
  - From: giggzounet <giggzounet@gmail.com>

Prev by Date: Souci de dépendances nécessitant la suppression de paquets sur testing
Next by Date: Re: backports et cron-apt
Previous by thread: Re: [HS] Help pour débuter avec iptables
Next by thread: Re: [HS] Help pour débuter avec iptables
Index(es):
- Date
- Thread