[HS] iptables: ICMP et limit

Pascal Hambourg

31/12/2006 à 15:40

Salut,

Le poulpe qui bloppe ! a écrit :

Je travaille actuellement mon script iptables.

C'est bien. :-)

Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce
que je ne voulais pas.

C'est mal. :-p

J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé
ce que je souhaite.

C'est bien. :-)

Mon serveur fait passerelle de mon rezo local:

WEB <--> eth0 <-->debian<--> eth1 <--> rezo local

Je travaille pour l'instant uniquement sur le ping.
Ce que j'aimerais, c'est que n'importe qui puisse me pinguer depuis
n'importe où (WAN et LAN).

C'est bien. :-)

Mais que losrsqu'une IP me ping, je reponde aux 4 premieres requettes, puis
plus rien pendant 10 minutes.

C'est sage, quoique je trouve 10 minutes très long.

J'ai donc essayé le systeme de limit et limit-burst, mais c'est
relativement trop philosophique pour moi.

Note que la correspondance 'limit' ne distingue pas entre les
différentes adresses sources. Pour cela il faudrait utiliser la
correspondance 'hashlimit' qui est supportée à partir d'iptables 1.3.0
et du noyau Linux 2.6.10 (ou inférieur avec le patch 'hashlimit' du
patch-o-matic-ng).

pour mes test, je suis donc en DROP par defaut, et je mets ca:
iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m
limit --limit 3/minute --limit-burst 5 -j DROP

Probleme: je suis incapable de pinguer.

Normal : politique DROP par défaut + règle DROP seulement = DROP
systématique. En fait il faut une clbie ACCEPT à cette règle.

Si je me mets en ACCEPT par defaut toujours avec la meme ligne, là je ping,
mais autant que je veux.

Même en lançant un nombre illimité de pings (option -t sous Windows) ?
Il n'y a pas une autre règle qui accepterait ces paquets ?

Donc si une bonne ame arrive à m'expliquer comme à un gros debutant le
fonctionnement de limit, et de limit-burst, j'en serais tres reconnaissant.

La valeur de l'option --limit-burst signifie qu'initialement la
correspondance est positive sur les n premiers paquets. La valeur de
l'option --limit indique le nombre de paquets par unité de temps qui
donnent une correspondance positive. Si le nombre de paquets effectif ne
dépasse pas la limite, le "limit-burst" est progressivement "rechargé"
jusqu'à atteindre sa valeur initiale.

Dans ton exemple, la correspondance est positive sur les 5 premiers
paquets quel que soit leur rythme d'arrivée. Et en moyenne seuls 3
paquets par minutes (en pratique un paquet toutes les 20 secondes) donne
une correspondance positive.

Donc par exemple si tu envoies un ping par seconde :
- les 5 premiers passent,
- ensuite, un passe toutes les 20 secondes (3 par minute).

J'ai testé sur une Sarge :

iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request
-m limit --limit 3/min -j ACCEPT
iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request -j DROP

$ ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttld time=0.302 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttld time=0.190 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttld time=0.177 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttld time=0.183 ms
64 bytes from localhost (127.0.0.1): icmp_seq=5 ttld time=0.186 ms
[les 5 premiers pings passent]
64 bytes from localhost (127.0.0.1): icmp_seq! ttld time=0.120 ms
64 bytes from localhost (127.0.0.1): icmp_seqA ttld time=0.115 ms
64 bytes from localhost (127.0.0.1): icmp_seqa ttld time=0.127 ms
[1 ping passe toutes les 20 secondes (3/minute)]

En laissant passer 5x20 secondes sans envoyer de ping, le limit-burst se
recharge intégralement et 5 pings peuvent à nouveau passer sans
limitation de temps.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Salut,

Le poulpe qui bloppe ! a écrit :

Je travaille actuellement mon script iptables.

C'est bien. :-)

Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce
que je ne voulais pas.

C'est mal. :-p

J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé
ce que je souhaite.

C'est bien. :-)

Mon serveur fait passerelle de mon rezo local:

WEB <--> eth0 <-->debian<--> eth1 <--> rezo local

Je travaille pour l'instant uniquement sur le ping.
Ce que j'aimerais, c'est que n'importe qui puisse me pinguer depuis
n'importe où (WAN et LAN).

C'est bien. :-)

Mais que losrsqu'une IP me ping, je reponde aux 4 premieres requettes, puis
plus rien pendant 10 minutes.

C'est sage, quoique je trouve 10 minutes très long.

J'ai donc essayé le systeme de limit et limit-burst, mais c'est
relativement trop philosophique pour moi.

Note que la correspondance 'limit' ne distingue pas entre les
différentes adresses sources. Pour cela il faudrait utiliser la
correspondance 'hashlimit' qui est supportée à partir d'iptables 1.3.0
et du noyau Linux 2.6.10 (ou inférieur avec le patch 'hashlimit' du
patch-o-matic-ng).

pour mes test, je suis donc en DROP par defaut, et je mets ca:
iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m
limit --limit 3/minute --limit-burst 5 -j DROP

Probleme: je suis incapable de pinguer.

Normal : politique DROP par défaut + règle DROP seulement = DROP
systématique. En fait il faut une clbie ACCEPT à cette règle.

Si je me mets en ACCEPT par defaut toujours avec la meme ligne, là je ping,
mais autant que je veux.

Même en lançant un nombre illimité de pings (option -t sous Windows) ?
Il n'y a pas une autre règle qui accepterait ces paquets ?

Donc si une bonne ame arrive à m'expliquer comme à un gros debutant le
fonctionnement de limit, et de limit-burst, j'en serais tres reconnaissant.

La valeur de l'option --limit-burst signifie qu'initialement la
correspondance est positive sur les n premiers paquets. La valeur de
l'option --limit indique le nombre de paquets par unité de temps qui
donnent une correspondance positive. Si le nombre de paquets effectif ne
dépasse pas la limite, le "limit-burst" est progressivement "rechargé"
jusqu'à atteindre sa valeur initiale.

Dans ton exemple, la correspondance est positive sur les 5 premiers
paquets quel que soit leur rythme d'arrivée. Et en moyenne seuls 3
paquets par minutes (en pratique un paquet toutes les 20 secondes) donne
une correspondance positive.

Donc par exemple si tu envoies un ping par seconde :
- les 5 premiers passent,
- ensuite, un passe toutes les 20 secondes (3 par minute).

J'ai testé sur une Sarge :

iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request
-m limit --limit 3/min -j ACCEPT
iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request -j DROP

$ ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttld time=0.302 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttld time=0.190 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttld time=0.177 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttld time=0.183 ms
64 bytes from localhost (127.0.0.1): icmp_seq=5 ttld time=0.186 ms
[les 5 premiers pings passent]
64 bytes from localhost (127.0.0.1): icmp_seq! ttld time=0.120 ms
64 bytes from localhost (127.0.0.1): icmp_seqA ttld time=0.115 ms
64 bytes from localhost (127.0.0.1): icmp_seqa ttld time=0.127 ms
[1 ping passe toutes les 20 secondes (3/minute)]

En laissant passer 5x20 secondes sans envoyer de ping, le limit-burst se
recharge intégralement et 5 pings peuvent à nouveau passer sans
limitation de temps.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Salut,

Le poulpe qui bloppe ! a écrit :

Je travaille actuellement mon script iptables.

C'est bien. :-)

Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce
que je ne voulais pas.

C'est mal. :-p

J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé
ce que je souhaite.

C'est bien. :-)

Mon serveur fait passerelle de mon rezo local:

WEB <--> eth0 <-->debian<--> eth1 <--> rezo local

Je travaille pour l'instant uniquement sur le ping.
Ce que j'aimerais, c'est que n'importe qui puisse me pinguer depuis
n'importe où (WAN et LAN).

C'est bien. :-)

Mais que losrsqu'une IP me ping, je reponde aux 4 premieres requettes, puis
plus rien pendant 10 minutes.

C'est sage, quoique je trouve 10 minutes très long.

J'ai donc essayé le systeme de limit et limit-burst, mais c'est
relativement trop philosophique pour moi.

Note que la correspondance 'limit' ne distingue pas entre les
différentes adresses sources. Pour cela il faudrait utiliser la
correspondance 'hashlimit' qui est supportée à partir d'iptables 1.3.0
et du noyau Linux 2.6.10 (ou inférieur avec le patch 'hashlimit' du
patch-o-matic-ng).

pour mes test, je suis donc en DROP par defaut, et je mets ca:
iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m
limit --limit 3/minute --limit-burst 5 -j DROP

Probleme: je suis incapable de pinguer.

Normal : politique DROP par défaut + règle DROP seulement = DROP
systématique. En fait il faut une clbie ACCEPT à cette règle.

Si je me mets en ACCEPT par defaut toujours avec la meme ligne, là je ping,
mais autant que je veux.

Même en lançant un nombre illimité de pings (option -t sous Windows) ?
Il n'y a pas une autre règle qui accepterait ces paquets ?

Donc si une bonne ame arrive à m'expliquer comme à un gros debutant le
fonctionnement de limit, et de limit-burst, j'en serais tres reconnaissant.

La valeur de l'option --limit-burst signifie qu'initialement la
correspondance est positive sur les n premiers paquets. La valeur de
l'option --limit indique le nombre de paquets par unité de temps qui
donnent une correspondance positive. Si le nombre de paquets effectif ne
dépasse pas la limite, le "limit-burst" est progressivement "rechargé"
jusqu'à atteindre sa valeur initiale.

Dans ton exemple, la correspondance est positive sur les 5 premiers
paquets quel que soit leur rythme d'arrivée. Et en moyenne seuls 3
paquets par minutes (en pratique un paquet toutes les 20 secondes) donne
une correspondance positive.

Donc par exemple si tu envoies un ping par seconde :
- les 5 premiers passent,
- ensuite, un passe toutes les 20 secondes (3 par minute).

J'ai testé sur une Sarge :

iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request
-m limit --limit 3/min -j ACCEPT
iptables -A INPUT -i lo -p icmp -m icmp --icmp-type echo-request -j DROP

$ ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttld time=0.302 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttld time=0.190 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttld time=0.177 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttld time=0.183 ms
64 bytes from localhost (127.0.0.1): icmp_seq=5 ttld time=0.186 ms
[les 5 premiers pings passent]
64 bytes from localhost (127.0.0.1): icmp_seq! ttld time=0.120 ms
64 bytes from localhost (127.0.0.1): icmp_seqA ttld time=0.115 ms
64 bytes from localhost (127.0.0.1): icmp_seqa ttld time=0.127 ms
[1 ping passe toutes les 20 secondes (3/minute)]

En laissant passer 5x20 secondes sans envoyer de ping, le limit-burst se
recharge intégralement et 5 pings peuvent à nouveau passer sans
limitation de temps.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Pascal Hambourg

31/12/2006 à 15:50

Pascal Hambourg a écrit :

Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de
ce que je ne voulais pas.

C'est mal. :-p

Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.

J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
d'autorisé ce que je souhaite.

C'est bien. :-)

Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
à l'usage.

pour mes test, je suis donc en DROP par defaut, et je mets ca:
iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m
limit --limit 3/minute --limit-burst 5 -j DROP

Détail qui m'avait échappé, le type ICMP echo-reply est la réponse au
ping, donc cette règle s'applique aux paquets de réponse au ping et non
de requête. Je ne pense pas que ce soit ce que tu souhaites.

Un dernier complément : il peut être souhaitable de limiter aussi la
taille des paquets de ping (correspondance "length"). Pour un simple
test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
Cependant ça peut être utile dans certains cas particuliers pour
débugger des problèmes vicieux de MTU.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Le poulpe qui bloppe !

01/01/2007 à 13:50

------=_Part_184286_12620057.1167655687703
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/12/31, Pascal Hambourg :

Pascal Hambourg a écrit :
>
>> Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop d e
>> ce que je ne voulais pas.
>
> C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.

>> J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
>> d'autorisé ce que je souhaite.
>
> C'est bien. :-)
Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
à l'usage.

>> pour mes test, je suis donc en DROP par defaut, et je mets ca:
>> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply
-m
>> limit --limit 3/minute --limit-burst 5 -j DROP

Détail qui m'avait échappé, le type ICMP echo-reply est la répons e au
ping, donc cette règle s'applique aux paquets de réponse au ping et n on
de requête. Je ne pense pas que ce soit ce que tu souhaites.

Un dernier complément : il peut être souhaitable de limiter aussi la
taille des paquets de ping (correspondance "length"). Pour un simple
test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
Cependant ça peut être utile dans certains cas particuliers pour
débugger des problèmes vicieux de MTU.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Merci beaucoup, ca marche.
C'est simplement 2 trucs qui me bloquaient.
D'une part, j'avais une regle etrange plus haut pour mon pc clinet.
D'autre part, vu que je suis en DROP par defaut partout, autoriser INPUT ne
suffisait pas,
J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone) .

Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
Car je lis partout que le type de protocole peut etre dangeureux sur
internet, et malheureusement, je n'ai pas encore trouvé quels sont
exactement les types à autoriser, c'est en cours de recherche avec les rf c.
Pour l'instant, je dois autoriser le ping pour un copain qui me monitore vi a
nagios.
Et ensuite, j'aimerais autoriser les requettes icmp relative aux rfc du DNS .

Merci pour l'explication sur les limites, maintenant que j'ai compris, je
sort ma calculette pour trouver les limites qui me plaisent ;)

BONNE ANNEE !

------=_Part_184286_12620057.1167655687703
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>2006/12/31, Pascal Hambourg <<a href="mailto:"></a >>:<blockquote class="gmail_quote" style="border-left: 1px so lid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Pascal Hambourg a écrit : > >> Jusqu'a présent, j&#3 9;etais en ACCEPT partout, et je forcais les drop de >> ce que je ne voulais pas. > > C'est mal. :-p Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
 forcément et il y aura un trou. >> J'ai décidé d 'etre plus propre et de mettre DROP par defaut, et >> d'au torisé ce que je souhaite. > > C'est bien. :-) Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
 à l'usage. >> pour mes test, je suis donc en DROP pa r defaut, et je mets ca: >> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m >> limit --limit 3/minute --lim it-burst 5 -j DROP
 Détail qui m'avait échappé, le type ICMP echo-reply est l a réponse au ping, donc cette règle s'applique aux paquets de r éponse au ping et non de requête. Je ne pense pas que ce soit ce que tu souhaites.
 Un dernier complément : il peut être souhaitable de limiter aus si la taille des paquets de ping (correspondance "length"). Po ur un simple test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
 Cependant ça peut être utile dans certains cas particuliers pour débugger des problèmes vicieux de MTU. -- Lisez la FAQ d e la liste avant de poser une question : <a href="http://wiki.debian.n et/?DebianFrench">
http://wiki.debian.net/?DebianFrench</a> Vous pouvez aussi ajouter le mo t ``spam'' dans vos champs "From" et "Reply-To:&q uot; To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-R ">
</a> with a subject of " unsubscribe". Trouble? Contact <a href="mailto: an.org"></a> </blockquote></div> Merci beaucoup, ca marche.
 C'est simplement 2 trucs qui me bloquaient. D'une part, j&#3 9;avais une regle etrange plus haut pour mon pc clinet. D'autre part , vu que je suis en DROP par defaut partout, autoriser INPUT ne suffisait p as,
 J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone). Je sais que le type echorequest et reply ne concernent que le ping. Mais c'est à titre d'entrainement sur les regles avec limit.
 Car je lis partout que le type de protocole peut etre dangeureux sur in ternet, et malheureusement, je n'ai pas encore trouvé quels sont exac tement les types à autoriser, c'est en cours de recherche avec les rf c.
 Pour l'instant, je dois autoriser le ping pour un copain qui me mon itore via nagios. Et ensuite, j'aimerais autoriser les requettes icm p relative aux rfc du DNS. Merci pour l'explication sur les limites, maintenant que j'ai compris, je sort ma calculette pour trouve r les limites qui me plaisent ;)
 BONNE ANNEE ! 

------=_Part_184286_12620057.1167655687703--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_184286_12620057.1167655687703
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/12/31, Pascal Hambourg <pascal.mail@plouf.fr.eu.org>:

Pascal Hambourg a écrit :
>
>> Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop d e
>> ce que je ne voulais pas.
>
> C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.

>> J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
>> d'autorisé ce que je souhaite.
>
> C'est bien. :-)
Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
à l'usage.

>> pour mes test, je suis donc en DROP par defaut, et je mets ca:
>> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply
-m
>> limit --limit 3/minute --limit-burst 5 -j DROP

Détail qui m'avait échappé, le type ICMP echo-reply est la répons e au
ping, donc cette règle s'applique aux paquets de réponse au ping et n on
de requête. Je ne pense pas que ce soit ce que tu souhaites.

Un dernier complément : il peut être souhaitable de limiter aussi la
taille des paquets de ping (correspondance "length"). Pour un simple
test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
Cependant ça peut être utile dans certains cas particuliers pour
débugger des problèmes vicieux de MTU.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

Merci beaucoup, ca marche.
C'est simplement 2 trucs qui me bloquaient.
D'une part, j'avais une regle etrange plus haut pour mon pc clinet.
D'autre part, vu que je suis en DROP par defaut partout, autoriser INPUT ne
suffisait pas,
J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone) .

Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
Car je lis partout que le type de protocole peut etre dangeureux sur
internet, et malheureusement, je n'ai pas encore trouvé quels sont
exactement les types à autoriser, c'est en cours de recherche avec les rf c.
Pour l'instant, je dois autoriser le ping pour un copain qui me monitore vi a
nagios.
Et ensuite, j'aimerais autoriser les requettes icmp relative aux rfc du DNS .

Merci pour l'explication sur les limites, maintenant que j'ai compris, je
sort ma calculette pour trouver les limites qui me plaisent ;)

BONNE ANNEE !

------=_Part_184286_12620057.1167655687703
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>2006/12/31, Pascal Hambourg <<a href="mailto:pascal.mail@plouf.fr.eu.org">pascal.mail@plouf.fr.eu.org</a >>:<blockquote class="gmail_quote" style="border-left: 1px so lid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Pascal Hambourg a écrit : > >> Jusqu'a présent, j&#3 9;etais en ACCEPT partout, et je forcais les drop de >> ce que je ne voulais pas. > > C'est mal. :-p Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
 forcément et il y aura un trou. >> J'ai décidé d 'etre plus propre et de mettre DROP par defaut, et >> d'au torisé ce que je souhaite. > > C'est bien. :-) Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
 à l'usage. >> pour mes test, je suis donc en DROP pa r defaut, et je mets ca: >> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m >> limit --limit 3/minute --lim it-burst 5 -j DROP
 Détail qui m'avait échappé, le type ICMP echo-reply est l a réponse au ping, donc cette règle s'applique aux paquets de r éponse au ping et non de requête. Je ne pense pas que ce soit ce que tu souhaites.
 Un dernier complément : il peut être souhaitable de limiter aus si la taille des paquets de ping (correspondance "length"). Po ur un simple test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
 Cependant ça peut être utile dans certains cas particuliers pour débugger des problèmes vicieux de MTU. -- Lisez la FAQ d e la liste avant de poser une question : <a href="http://wiki.debian.n et/?DebianFrench">
http://wiki.debian.net/?DebianFrench</a> Vous pouvez aussi ajouter le mo t ``spam'' dans vos champs "From" et "Reply-To:&q uot; To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-R EQUEST@lists.debian.org">
debian-user-french-REQUEST@lists.debian.org</a> with a subject of " unsubscribe". Trouble? Contact <a href="mailto:listmaster@lists.debi an.org">listmaster@lists.debian.org</a> </blockquote></div> Merci beaucoup, ca marche.
 C'est simplement 2 trucs qui me bloquaient. D'une part, j&#3 9;avais une regle etrange plus haut pour mon pc clinet. D'autre part , vu que je suis en DROP par defaut partout, autoriser INPUT ne suffisait p as,
 J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone). Je sais que le type echorequest et reply ne concernent que le ping. Mais c'est à titre d'entrainement sur les regles avec limit.
 Car je lis partout que le type de protocole peut etre dangeureux sur in ternet, et malheureusement, je n'ai pas encore trouvé quels sont exac tement les types à autoriser, c'est en cours de recherche avec les rf c.
 Pour l'instant, je dois autoriser le ping pour un copain qui me mon itore via nagios. Et ensuite, j'aimerais autoriser les requettes icm p relative aux rfc du DNS. Merci pour l'explication sur les limites, maintenant que j'ai compris, je sort ma calculette pour trouve r les limites qui me plaisent ;)
 BONNE ANNEE ! 

------=_Part_184286_12620057.1167655687703--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

------=_Part_184286_12620057.1167655687703
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/12/31, Pascal Hambourg :

Pascal Hambourg a écrit :
>
>> Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop d e
>> ce que je ne voulais pas.
>
> C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.

>> J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
>> d'autorisé ce que je souhaite.
>
> C'est bien. :-)
Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
à l'usage.

>> pour mes test, je suis donc en DROP par defaut, et je mets ca:
>> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply
-m
>> limit --limit 3/minute --limit-burst 5 -j DROP

Détail qui m'avait échappé, le type ICMP echo-reply est la répons e au
ping, donc cette règle s'applique aux paquets de réponse au ping et n on
de requête. Je ne pense pas que ce soit ce que tu souhaites.

Un dernier complément : il peut être souhaitable de limiter aussi la
taille des paquets de ping (correspondance "length"). Pour un simple
test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
Cependant ça peut être utile dans certains cas particuliers pour
débugger des problèmes vicieux de MTU.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Merci beaucoup, ca marche.
C'est simplement 2 trucs qui me bloquaient.
D'une part, j'avais une regle etrange plus haut pour mon pc clinet.
D'autre part, vu que je suis en DROP par defaut partout, autoriser INPUT ne
suffisait pas,
J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone) .

Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
Car je lis partout que le type de protocole peut etre dangeureux sur
internet, et malheureusement, je n'ai pas encore trouvé quels sont
exactement les types à autoriser, c'est en cours de recherche avec les rf c.
Pour l'instant, je dois autoriser le ping pour un copain qui me monitore vi a
nagios.
Et ensuite, j'aimerais autoriser les requettes icmp relative aux rfc du DNS .

Merci pour l'explication sur les limites, maintenant que j'ai compris, je
sort ma calculette pour trouver les limites qui me plaisent ;)

BONNE ANNEE !

------=_Part_184286_12620057.1167655687703
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>2006/12/31, Pascal Hambourg <<a href="mailto:"></a >>:<blockquote class="gmail_quote" style="border-left: 1px so lid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Pascal Hambourg a écrit : > >> Jusqu'a présent, j&#3 9;etais en ACCEPT partout, et je forcais les drop de >> ce que je ne voulais pas. > > C'est mal. :-p Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
 forcément et il y aura un trou. >> J'ai décidé d 'etre plus propre et de mettre DROP par defaut, et >> d'au torisé ce que je souhaite. > > C'est bien. :-) Raison : si on oublie d'accepter quelque chose, ça va finir par se voir
 à l'usage. >> pour mes test, je suis donc en DROP pa r defaut, et je mets ca: >> iptables -t filter -A INPUT -i $IF_LAN -p icmp --icmp-type echo-reply -m >> limit --limit 3/minute --lim it-burst 5 -j DROP
 Détail qui m'avait échappé, le type ICMP echo-reply est l a réponse au ping, donc cette règle s'applique aux paquets de r éponse au ping et non de requête. Je ne pense pas que ce soit ce que tu souhaites.
 Un dernier complément : il peut être souhaitable de limiter aus si la taille des paquets de ping (correspondance "length"). Po ur un simple test de connectivité IP, pas besoin d'envoyer un ping de 1500 octets.
 Cependant ça peut être utile dans certains cas particuliers pour débugger des problèmes vicieux de MTU. -- Lisez la FAQ d e la liste avant de poser une question : <a href="http://wiki.debian.n et/?DebianFrench">
http://wiki.debian.net/?DebianFrench</a> Vous pouvez aussi ajouter le mo t ``spam'' dans vos champs "From" et "Reply-To:&q uot; To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-R ">
</a> with a subject of " unsubscribe". Trouble? Contact <a href="mailto: an.org"></a> </blockquote></div> Merci beaucoup, ca marche.
 C'est simplement 2 trucs qui me bloquaient. D'une part, j&#3 9;avais une regle etrange plus haut pour mon pc clinet. D'autre part , vu que je suis en DROP par defaut partout, autoriser INPUT ne suffisait p as,
 J'ai du aussi autoriser OUTPUT (logique, fallais que j'utilise mon neurone). Je sais que le type echorequest et reply ne concernent que le ping. Mais c'est à titre d'entrainement sur les regles avec limit.
 Car je lis partout que le type de protocole peut etre dangeureux sur in ternet, et malheureusement, je n'ai pas encore trouvé quels sont exac tement les types à autoriser, c'est en cours de recherche avec les rf c.
 Pour l'instant, je dois autoriser le ping pour un copain qui me mon itore via nagios. Et ensuite, j'aimerais autoriser les requettes icm p relative aux rfc du DNS. Merci pour l'explication sur les limites, maintenant que j'ai compris, je sort ma calculette pour trouve r les limites qui me plaisent ;)
 BONNE ANNEE ! 

------=_Part_184286_12620057.1167655687703--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Pascal Hambourg

01/01/2007 à 22:40

Le poulpe qui bloppe ! a écrit :

Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.

C'est quand même une très bonne idée d'accepter le ping avec une limite
(forcément, puisque je le fais ;-) ).

Car je lis partout que le type de protocole peut etre dangeureux sur
internet, et malheureusement, je n'ai pas encore trouvé quels sont
exactement les types à autoriser, c'est en cours de recherche avec les rfc.

Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles-ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.

Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Le poulpe qui bloppe !

02/01/2007 à 08:00

------=_Part_178114_653070.1167721128002
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 01/01/07, Pascal Hambourg a écrit :

Le poulpe qui bloppe ! a écrit :
>
> Je sais que le type echorequest et reply ne concernent que le ping.
> Mais c'est à titre d'entrainement sur les regles avec limit.

C'est quand même une très bonne idée d'accepter le ping avec une li mite
(forcément, puisque je le fais ;-) ).

> Car je lis partout que le type de protocole peut etre dangeureux sur
> internet, et malheureusement, je n'ai pas encore trouvé quels sont
> exactement les types à autoriser, c'est en cours de recherche avec le s
rfc.

Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles -ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.

Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Merci beaucoup pour l'info, J'etudie ca.
C'est en effet ce que j'ai prévu d'autoriser.

------=_Part_178114_653070.1167721128002
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>Le 01/01/07, Pascal Hambourg <<a href="mailto: org"></a>> a écrit :<blockquote clas s="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margi n: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le poulpe qui bloppe ! a écrit : > > Je sais que le type echo request et reply ne concernent que le ping. > Mais c'est à titr e d'entrainement sur les regles avec limit. C'est quand mê me une très bonne idée d'accepter le ping avec une limite
 (forcément, puisque je le fais ;-) ). > Car je lis partout que le type de protocole peut etre dangeureux sur > internet, et malh eureusement, je n'ai pas encore trouvé quels sont > exactement les types à autoriser, c'est en cours de recherche avec les rfc.
 Hors quelques cas particuliers de vulnérabilités ("ping of death" de Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne limite pas, est surtout lié à l'envoi des r éponses au ping : celles-ci
 pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou flooder un innocent en cas d'usurpation de l'adresse I P source. C'est pourquoi on peut souhaiter en limiter la fréquence et la taille.
 Les types ICMP que j'autorise sur l'interface internet sont , en plus du ping, les messages d'erreur indispensables : - Echo Request, dans l'état NEW avec des limites - Echo Reply, dans l&#39 ;état ESTABLISHED
 - Destination Unreachable, dans l'état RELATED - Time Exceeded , dans l'état RELATED - Parameter Problem, dans l'état RELAT ED. -- Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.net/?DebianFrench">http://wiki.debian.net/?De bianFrench</a> Vous pouvez aussi ajouter le mot ``spam'' dans vo s champs "From" et "Reply-To:" To UNSUBSCRIBE , email to
<a href="mailto:">debian-user- </a> with a subject of "unsubscribe& quot;. Trouble? Contact <a href="mailto:">list
</a> </blockquote></div> Merci beaucoup pour l'info, J'et udie ca. C'est en effet ce que j'ai prévu d'autoriser. 

------=_Part_178114_653070.1167721128002--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_178114_653070.1167721128002
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 01/01/07, Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :

Le poulpe qui bloppe ! a écrit :
>
> Je sais que le type echorequest et reply ne concernent que le ping.
> Mais c'est à titre d'entrainement sur les regles avec limit.

C'est quand même une très bonne idée d'accepter le ping avec une li mite
(forcément, puisque je le fais ;-) ).

> Car je lis partout que le type de protocole peut etre dangeureux sur
> internet, et malheureusement, je n'ai pas encore trouvé quels sont
> exactement les types à autoriser, c'est en cours de recherche avec le s
rfc.

Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles -ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.

Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

Merci beaucoup pour l'info, J'etudie ca.
C'est en effet ce que j'ai prévu d'autoriser.

------=_Part_178114_653070.1167721128002
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>Le 01/01/07, Pascal Hambourg <<a href="mailto:pascal.mail@plouf.fr.eu. org">pascal.mail@plouf.fr.eu.org</a>> a écrit :<blockquote clas s="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margi n: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le poulpe qui bloppe ! a écrit : > > Je sais que le type echo request et reply ne concernent que le ping. > Mais c'est à titr e d'entrainement sur les regles avec limit. C'est quand mê me une très bonne idée d'accepter le ping avec une limite
 (forcément, puisque je le fais ;-) ). > Car je lis partout que le type de protocole peut etre dangeureux sur > internet, et malh eureusement, je n'ai pas encore trouvé quels sont > exactement les types à autoriser, c'est en cours de recherche avec les rfc.
 Hors quelques cas particuliers de vulnérabilités ("ping of death" de Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne limite pas, est surtout lié à l'envoi des r éponses au ping : celles-ci
 pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou flooder un innocent en cas d'usurpation de l'adresse I P source. C'est pourquoi on peut souhaiter en limiter la fréquence et la taille.
 Les types ICMP que j'autorise sur l'interface internet sont , en plus du ping, les messages d'erreur indispensables : - Echo Request, dans l'état NEW avec des limites - Echo Reply, dans l&#39 ;état ESTABLISHED
 - Destination Unreachable, dans l'état RELATED - Time Exceeded , dans l'état RELATED - Parameter Problem, dans l'état RELAT ED. -- Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.net/?DebianFrench">http://wiki.debian.net/?De bianFrench</a> Vous pouvez aussi ajouter le mot ``spam'' dans vo s champs "From" et "Reply-To:" To UNSUBSCRIBE , email to
<a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian-user- french-REQUEST@lists.debian.org</a> with a subject of "unsubscribe& quot;. Trouble? Contact <a href="mailto:listmaster@lists.debian.org">list master@lists.debian.org
</a> </blockquote></div> Merci beaucoup pour l'info, J'et udie ca. C'est en effet ce que j'ai prévu d'autoriser. 

------=_Part_178114_653070.1167721128002--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

------=_Part_178114_653070.1167721128002
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 01/01/07, Pascal Hambourg a écrit :

Le poulpe qui bloppe ! a écrit :
>
> Je sais que le type echorequest et reply ne concernent que le ping.
> Mais c'est à titre d'entrainement sur les regles avec limit.

C'est quand même une très bonne idée d'accepter le ping avec une li mite
(forcément, puisque je le fais ;-) ).

> Car je lis partout que le type de protocole peut etre dangeureux sur
> internet, et malheureusement, je n'ai pas encore trouvé quels sont
> exactement les types à autoriser, c'est en cours de recherche avec le s
rfc.

Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles -ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.

Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Merci beaucoup pour l'info, J'etudie ca.
C'est en effet ce que j'ai prévu d'autoriser.

------=_Part_178114_653070.1167721128002
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>Le 01/01/07, Pascal Hambourg <<a href="mailto: org"></a>> a écrit :<blockquote clas s="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margi n: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le poulpe qui bloppe ! a écrit : > > Je sais que le type echo request et reply ne concernent que le ping. > Mais c'est à titr e d'entrainement sur les regles avec limit. C'est quand mê me une très bonne idée d'accepter le ping avec une limite
 (forcément, puisque je le fais ;-) ). > Car je lis partout que le type de protocole peut etre dangeureux sur > internet, et malh eureusement, je n'ai pas encore trouvé quels sont > exactement les types à autoriser, c'est en cours de recherche avec les rfc.
 Hors quelques cas particuliers de vulnérabilités ("ping of death" de Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne limite pas, est surtout lié à l'envoi des r éponses au ping : celles-ci
 pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou flooder un innocent en cas d'usurpation de l'adresse I P source. C'est pourquoi on peut souhaiter en limiter la fréquence et la taille.
 Les types ICMP que j'autorise sur l'interface internet sont , en plus du ping, les messages d'erreur indispensables : - Echo Request, dans l'état NEW avec des limites - Echo Reply, dans l&#39 ;état ESTABLISHED
 - Destination Unreachable, dans l'état RELATED - Time Exceeded , dans l'état RELATED - Parameter Problem, dans l'état RELAT ED. -- Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.net/?DebianFrench">http://wiki.debian.net/?De bianFrench</a> Vous pouvez aussi ajouter le mot ``spam'' dans vo s champs "From" et "Reply-To:" To UNSUBSCRIBE , email to
<a href="mailto:">debian-user- </a> with a subject of "unsubscribe& quot;. Trouble? Contact <a href="mailto:">list
</a> </blockquote></div> Merci beaucoup pour l'info, J'et udie ca. C'est en effet ce que j'ai prévu d'autoriser. 

------=_Part_178114_653070.1167721128002--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

[HS] iptables: ICMP et limit

5 réponses

Veuillez sélectionner un problème