Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168. 0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168. 0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETU RN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168. 0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168. 0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETU RN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168. 0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168. 0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETU RN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.
On est obligé de l'utilser en modem-routeur...
> 2) utilise ton routeur WRT54GL
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:
# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT
fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.
> 4) utiliser le WiFi du WRT54GL
Merci.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>> Bonjour,
>>
>> Même si ca n'utilise pas explicitement une debian, je pense que l'on
>> peut me répondre sur la liste.
>>
>> Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
>> un firmware à base linux: openwrt et qui donc peut utiliser iptables.
>>
>> En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
>> + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
>>
>> Je voulais avoir votre avis sur la config que je vais utiliser + sur
>> certains petits points dans iptables.
>>
>> J'ai décidé de donner par exemple à la LB une ip du style: 192.1 68.0.1.
>>
>> Je relie la LB au port wan du routeur à qui je donne une ip en
>> 192.168.0.x.
>>
>> Après je fais une dmz, pour rediriger tout ce qui vient sur la LB ve rs
>> l'ip wan du routeur.
>>
>> Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
>> ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
>> 192.168.1.qque chose.
>>
>> Donc j'aurai un double nat.
>>
>> Au niveau de la config iptables, j'ai certaines règles que j'hésit e à
>> mettre car je ne suis pas sure de leur utilités:
>>
>> # Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
>>
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
>>
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
>>
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>
>> Je me dis que ces règles de securité peuvent pour un simple nat
>> classique mais pour une double nat, peut-etre que la livebox, filtrera
>> ces paquets parasites non?
>>
>> Merci :-)
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.
On est obligé de l'utilser en modem-routeur...
> 2) utilise ton routeur WRT54GL
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:
# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT
fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.
> 4) utiliser le WiFi du WRT54GL
Merci.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>> Bonjour,
>>
>> Même si ca n'utilise pas explicitement une debian, je pense que l'on
>> peut me répondre sur la liste.
>>
>> Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
>> un firmware à base linux: openwrt et qui donc peut utiliser iptables.
>>
>> En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
>> + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
>>
>> Je voulais avoir votre avis sur la config que je vais utiliser + sur
>> certains petits points dans iptables.
>>
>> J'ai décidé de donner par exemple à la LB une ip du style: 192.1 68.0.1.
>>
>> Je relie la LB au port wan du routeur à qui je donne une ip en
>> 192.168.0.x.
>>
>> Après je fais une dmz, pour rediriger tout ce qui vient sur la LB ve rs
>> l'ip wan du routeur.
>>
>> Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
>> ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
>> 192.168.1.qque chose.
>>
>> Donc j'aurai un double nat.
>>
>> Au niveau de la config iptables, j'ai certaines règles que j'hésit e à
>> mettre car je ne suis pas sure de leur utilités:
>>
>> # Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
>>
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
>>
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
>>
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>
>> Je me dis que ces règles de securité peuvent pour un simple nat
>> classique mais pour une double nat, peut-etre que la livebox, filtrera
>> ces paquets parasites non?
>>
>> Merci :-)
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.
On est obligé de l'utilser en modem-routeur...
> 2) utilise ton routeur WRT54GL
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:
# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT
fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.
> 4) utiliser le WiFi du WRT54GL
Merci.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>> Bonjour,
>>
>> Même si ca n'utilise pas explicitement une debian, je pense que l'on
>> peut me répondre sur la liste.
>>
>> Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
>> un firmware à base linux: openwrt et qui donc peut utiliser iptables.
>>
>> En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
>> + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
>>
>> Je voulais avoir votre avis sur la config que je vais utiliser + sur
>> certains petits points dans iptables.
>>
>> J'ai décidé de donner par exemple à la LB une ip du style: 192.1 68.0.1.
>>
>> Je relie la LB au port wan du routeur à qui je donne une ip en
>> 192.168.0.x.
>>
>> Après je fais une dmz, pour rediriger tout ce qui vient sur la LB ve rs
>> l'ip wan du routeur.
>>
>> Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
>> ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
>> 192.168.1.qque chose.
>>
>> Donc j'aurai un double nat.
>>
>> Au niveau de la config iptables, j'ai certaines règles que j'hésit e à
>> mettre car je ne suis pas sure de leur utilités:
>>
>> # Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
>>
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
>>
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
>>
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>
>> Je me dis que ces règles de securité peuvent pour un simple nat
>> classique mais pour une double nat, peut-etre que la livebox, filtrera
>> ces paquets parasites non?
>>
>> Merci :-)
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
pour moi non un routeur hardware est plus interessant que d'utiliser iptable
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement ce
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
pour moi non un routeur hardware est plus interessant que d'utiliser iptable
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement ce
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
pour moi non un routeur hardware est plus interessant que d'utiliser iptable
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement ce
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs
Salut,
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
> 2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Ben voyons...
> 4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>>Même si ca n'utilise pas explicitement une debian, je pense que l'on
>>peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
>>Au niveau de la config iptables, j'ai certaines règles que j'hésite à
>>mettre car je ne suis pas sure de leur utilités:
>>
>># Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>Je me dis que ces règles de securité peuvent pour un simple nat
>>classique mais pour une double nat, peut-etre que la livebox, filtrera
>>ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considé rer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
Salut,
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
> 2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Ben voyons...
> 4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>>Même si ca n'utilise pas explicitement une debian, je pense que l'on
>>peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
>>Au niveau de la config iptables, j'ai certaines règles que j'hésite à
>>mettre car je ne suis pas sure de leur utilités:
>>
>># Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>Je me dis que ces règles de securité peuvent pour un simple nat
>>classique mais pour une double nat, peut-etre que la livebox, filtrera
>>ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considé rer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
Salut,
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
> 2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs
Ben voyons...
> 4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>>Même si ca n'utilise pas explicitement une debian, je pense que l'on
>>peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
>>Au niveau de la config iptables, j'ai certaines règles que j'hésite à
>>mettre car je ne suis pas sure de leur utilités:
>>
>># Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>Je me dis que ces règles de securité peuvent pour un simple nat
>>classique mais pour une double nat, peut-etre que la livebox, filtrera
>>ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considé rer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
on4hu a écrit :
> ce n'est jamais souhaitable de mettre
> un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
> pour moi non un routeur hardware est plus interessant que d'utiliser
> iptable même avec un serveur et sauf si tu utilise un PC sous linux c omme
> routeur je maintient que le WRT54GL est plus interessant et peut faire
> exactement ce que tu veux faire avec un PC supplémentaire sans compter
> que même sous Linux un partie de ton occupation CPU est exigée autr ement
> pas!
Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.
> ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >10 00
> connexions/jour et une demi-douzaine de serveurs
1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.
on4hu a écrit :
> ce n'est jamais souhaitable de mettre
> un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
> pour moi non un routeur hardware est plus interessant que d'utiliser
> iptable même avec un serveur et sauf si tu utilise un PC sous linux c omme
> routeur je maintient que le WRT54GL est plus interessant et peut faire
> exactement ce que tu veux faire avec un PC supplémentaire sans compter
> que même sous Linux un partie de ton occupation CPU est exigée autr ement
> pas!
Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.
> ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >10 00
> connexions/jour et une demi-douzaine de serveurs
1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.
on4hu a écrit :
> ce n'est jamais souhaitable de mettre
> un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
> pour moi non un routeur hardware est plus interessant que d'utiliser
> iptable même avec un serveur et sauf si tu utilise un PC sous linux c omme
> routeur je maintient que le WRT54GL est plus interessant et peut faire
> exactement ce que tu veux faire avec un PC supplémentaire sans compter
> que même sous Linux un partie de ton occupation CPU est exigée autr ement
> pas!
Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.
> ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >10 00
> connexions/jour et une demi-douzaine de serveurs
1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
oui ça marche mais pourquoi faire simple quand on peut faire compliqué...
fait une trace et regarde le temps perdu....
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
oui ça marche mais pourquoi faire simple quand on peut faire compliqué...
fait une trace et regarde le temps perdu....
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...
Ça alors ! Et pourtant :
$ traceroute www.debian.org
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
oui ça marche mais pourquoi faire simple quand on peut faire compliqué...
fait une trace et regarde le temps perdu....
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :Salut,
on4hu a écrit :perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
Ben voyons...4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :
Salut,
on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
Ben voyons...
4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
1 = LB
2 = Linksys
3 = iptable de cette machine Linux
Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :Salut,
on4hu a écrit :perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.2) utilise ton routeur WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
Ben voyons...4) utiliser le WiFi du WRT54GL
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN # iptables -A syn-flood -j DROP
4 TCP SYN par seconde me paraît très faible.# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !