Re: [HS] Help pour débuter avec iptables
Le 15/09/2010 16:31, Pascal Hambourg a écrit :
> giggzounet a écrit :
>>
>>> Y a des règles pour définir les limites avec -m limit --limit ? ou alors
>>> c'est au pif ?
>
> Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
> la machine, du réseau...
>
je vouslais dire: j'en teste une première (600/min) et si ça passe je
laisse sinon je mets 300/min...
>> Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
>> variables modifiables via sysctl:
>>
>> Pour l'instant les variables redirects sont à 1 :
>> net.ipv4.conf.all.send_redirects
>> net.ipv4.conf.default.send_redirects
>> net.ipv4.conf.all.accept_redirects
>> net.ipv4.conf.all.secure_redirects
>> net.ipv4.conf.default.accept_redirects
>> net.ipv4.conf.default.secure_redirects
>>
>> est ce intéressant de les mettre à 0 ?
>
> Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
> conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
> ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
> hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
> juste sous-optimal. De toute façon il est rare qu'un réseau contienne
> plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
> Comme les ICMP redirect peuvent être exploités par une machine du réseau
> local pour détourner du trafic, il peut être intéressant d'un point de
> vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
> détourner du trafic dans un réseau local, notamment avec les attaques
> basées sur ARP qu'iptables ignore complètement.
>
ok. merci pour l'explication. donc j'ai mis:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
Bonne soirée,
Guillaume
Reply to: