Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

To: debian-user-french@lists.debian.org
Subject: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
From: Daniel Huhardeaux <no-spam@tootai.net>
Date: Wed, 18 Sep 2019 18:50:15 +0200
Message-id: <[🔎] 12805549-cccd-ff92-6a4d-1c26a601f98e@tootai.net>
Reply-to: no-spam@tootai.invalid
In-reply-to: <[🔎] efe01351-b7b2-0f20-11b9-53acbe8e286e@visionduweb.com>
References: <[🔎] 95d60f0d-9f5c-c1bc-dd13-514cecce52bf@visionduweb.com> <[🔎] d2b17414-9690-cdeb-2d2c-2562feaab565@plouf.fr.eu.org> <[🔎] 9af2b201-7454-3c53-b418-927cca778b79@visionduweb.com> <[🔎] 83ed9209-39cb-309d-2b2f-5171a96cac33@tootai.net> <[🔎] a8d55202-39ef-d6f9-c8d6-a96d1f8a4b0c@visionduweb.com> <[🔎] 719cb54d-cf90-0eb1-a768-44924e801cf3@tootai.net> <[🔎] 1afe67a7-3bc6-f9e1-3108-f0664d0ba973@visionduweb.com> <[🔎] 98fbb120-92e0-f8b6-bece-c12176c81136@visionduweb.com> <[🔎] 0942d8e5-621f-51d9-d184-2e1044f3983e@tootai.net> <[🔎] 965d581d-528d-2dd1-a07e-c629e98106a5@visionduweb.com> <[🔎] 0dfa9cc6-95f4-9bad-ce57-a7fa6e98f8b0@tootai.net> <[🔎] efe01351-b7b2-0f20-11b9-53acbe8e286e@visionduweb.com>

Le 18/09/2019 à 18:12, G2PC a écrit :

Ok super, je vais faire comme tu le proposes.
Enregistrer le fichier regles-iptables-inactives doit permettre de
revenir rapidement en arrière en cas de blocage, je suppose.


Plus simple, faire un script comme

# Flush all
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

# Accept all by default
$IPTABLES -P INPUT      ACCEPT
$IPTABLES -P OUTPUT     ACCEPT
$IPTABLES -P FORWARD    ACCEPT
$IPTABLES -t nat        -P OUTPUT       ACCEPT
$IPTABLES -t mangle     -P INPUT        ACCEPT
$IPTABLES -t mangle     -P OUTPUT       ACCEPT

# This server is a GW for Intranet
$IPTABLES -t nat        -A POSTROUTING  -j MASQUERADE

et le tour est joué


Ok pour * filter que je vais commenter.

Par contre, sur certains tutoriels, je lisais qu'il était conseillé
d'appliquer les règles suivantes à la fin du script.
Est ce qu'on ne risque pas d'être déconnecté du serveur distant,
immédiatement après la lecture des 3 premières lignes ?
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

Non, sauf si ton script plante en cours d'exécution. Une bonne hygièneest de régler ton script FW en étant devant la console, ou alors àdistance *SANS* activer le script au démarrage de la machine. Unesession ssh (ou tout autre service) déjà ouverte ne sera pas interrompuesi le script fonctionne bien.




Le 18/09/2019 à 18:05, Daniel Huhardeaux a écrit :

Le 18/09/2019 à 17:41, G2PC a écrit :

Très bien je prend note, j'appliquerais après avoir flush :

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT


Non !

Les flush, puis:

sudo iptables -A INPUT ACCEPT
sudo iptables -A FORWARD ACCEPT
sudo iptables -A OUTPUT ACCEPT

$IPTABLES-save > /path/vers/le/fichier/iptablesInactif

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

Mais vu que déjà tu t'emmêles les pédales ;) et ne veux pas
sauvegarder les règles inactives, laisse tomber: fais les flush puis
les DROP

Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script
, on est bien d'accord sur ce point ?


Oui, voir le man iptables.

Reply to:

Follow-Ups:
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>

References:
- Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Pascal Hambourg <pascal@plouf.fr.eu.org>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>

Prev by Date: Re: configurer exim4 pour envoyer des emails par un FAI
Next by Date: Re: configurer exim4 pour envoyer des emails par un FAI
Previous by thread: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
Next by thread: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
Index(es):
- Date
- Thread