# default policy : DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# on accepte les paquets relatifs aux connexions deja ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# j'accepte le ping (mais ne sais pas comment en limiter le nombre)
iptables -p icmp --icmp-type <ping> -j ACCEPT
# accepte tout ce qui concerne l'interface loopback
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT
# accepte tout ce qui provient de l'adresse xx.xx.xx.xx
#iptables -A INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Une idée?
"Pascal Hambourg" a écrit dans le message de news: efhi3c$rsp$
Non en fait je ne savais pas si il fallait des regles en input ou output pour le DNS.
C'est comme pour les autres services. Il faut des règles en INPUT si la machine héberge un serveur DNS recevant des requêtes de l'extérieur. Il faut des règles en OUTPUT si la machine doit envoyer des requêtes à des serveurs DNS extérieurs.
Mon serveur heberge un serveur DNS, quelles sont donc les regles idéales?
Celles que tu as proposées vont très bien :
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le
firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Une idée?
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: efhi3c$rsp$1@biggoron.nerim.net...
Non en fait je ne savais pas si il fallait des regles en input ou output
pour le DNS.
C'est comme pour les autres services. Il faut des règles en INPUT si la
machine héberge un serveur DNS recevant des requêtes de l'extérieur. Il
faut des règles en OUTPUT si la machine doit envoyer des requêtes à des
serveurs DNS extérieurs.
Mon serveur heberge un serveur DNS, quelles sont donc les regles idéales?
Celles que tu as proposées vont très bien :
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Une idée?
"Pascal Hambourg" a écrit dans le message de news: efhi3c$rsp$
Non en fait je ne savais pas si il fallait des regles en input ou output pour le DNS.
C'est comme pour les autres services. Il faut des règles en INPUT si la machine héberge un serveur DNS recevant des requêtes de l'extérieur. Il faut des règles en OUTPUT si la machine doit envoyer des requêtes à des serveurs DNS extérieurs.
Mon serveur heberge un serveur DNS, quelles sont donc les regles idéales?
Celles que tu as proposées vont très bien :
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
# vidage des chaînes (deplacé après la définition du PATH) iptables -F
# suppression des chaines utilisateur iptables -X
# default policy : DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
# on accepte les paquets relatifs aux connexions déjà ouvertes iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# accepte tout ce qui concerne l'interface loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
# accepte tout ce qui provient de l'adresse xx.xx.xx.xx #iptables -A INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
# connexions acceptées en entrée (à adapter aux besoins)
# si la machine a un serveur SSH accessible de l'extérieur iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur web HTTP/HTTPS accessible de l'extérieur iptables -A INPUT -p tcp --syn -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
# si la machine a un serveur sur 2222/TCP accessible de l'extérieur iptables -A INPUT -p tcp --dport 2222 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur SMTP accessible de l'extérieur pour # recevoir du courrier iptables -A INPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur POP3 accessible de l'extérieur pour relever # du courrier iptables -A INPUT -p tcp --dport 110 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur FTP accessible de l'extérieur iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur FTP sur le port 6438 accessible de # l'extérieur iptables -A INPUT -p tcp --dport 6438 --syn -m state --state NEW -j ACCEPT
# j'accepte le ping en entrée limité à 10/s et à 100 octets (à ajuster) iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/s -m length --length 28:100 -j ACCEPT
# on rejette "proprement" les paquets TCP indésirables en entrée # en plus d'être plus poli que DROP, cela évite le délai d'expiration # des requêtes IDENT entrantes émises par certains serveurs contactés iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état # INVALID avec DROP ou REJECT ?
# on rejette "proprement" les paquets UDP indésirables en entrée iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée # (les paquets ICMP indésirables sont bloqués silencieusement) iptables -A INPUT -p ! icmp -j REJECT --reject-with icmp-proto-unreachable
# connexions acceptées en sortie (à adapter aux besoins)
# autoriser les requêtes FTP en sortie (pour les mises à jour) iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes FTP en sortie sur le port 6438 iptables -A OUTPUT -p tcp --dport 6438 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes HTTP en sortie (pour les mises à jour) iptables -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes DNS TCP et UDP en sortie iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
# autoriser les requêtes SMTP en sortie pour envoyer du courrier iptables -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes ping en sortie iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
# vidage des chaînes (deplacé après la définition du PATH)
iptables -F
# suppression des chaines utilisateur
iptables -X
# default policy : DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# on accepte les paquets relatifs aux connexions déjà ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# accepte tout ce qui concerne l'interface loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# accepte tout ce qui provient de l'adresse xx.xx.xx.xx
#iptables -A INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
# connexions acceptées en entrée (à adapter aux besoins)
# si la machine a un serveur SSH accessible de l'extérieur
iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur web HTTP/HTTPS accessible de l'extérieur
iptables -A INPUT -p tcp --syn -m multiport --dports 80,443
-m state --state NEW -j ACCEPT
# si la machine a un serveur sur 2222/TCP accessible de l'extérieur
iptables -A INPUT -p tcp --dport 2222 --syn -m state --state NEW
-j ACCEPT
# si la machine a un serveur SMTP accessible de l'extérieur pour
# recevoir du courrier
iptables -A INPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur POP3 accessible de l'extérieur pour relever
# du courrier
iptables -A INPUT -p tcp --dport 110 --syn -m state --state NEW
-j ACCEPT
# si la machine a un serveur FTP accessible de l'extérieur
iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur FTP sur le port 6438 accessible de
# l'extérieur
iptables -A INPUT -p tcp --dport 6438 --syn -m state --state NEW
-j ACCEPT
# j'accepte le ping en entrée limité à 10/s et à 100 octets (à ajuster)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/s
-m length --length 28:100 -j ACCEPT
# on rejette "proprement" les paquets TCP indésirables en entrée
# en plus d'être plus poli que DROP, cela évite le délai d'expiration
# des requêtes IDENT entrantes émises par certains serveurs contactés
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état
# INVALID avec DROP ou REJECT ?
# on rejette "proprement" les paquets UDP indésirables en entrée
iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée
# (les paquets ICMP indésirables sont bloqués silencieusement)
iptables -A INPUT -p ! icmp
-j REJECT --reject-with icmp-proto-unreachable
# connexions acceptées en sortie (à adapter aux besoins)
# autoriser les requêtes FTP en sortie (pour les mises à jour)
iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW
-j ACCEPT
# autoriser les requêtes FTP en sortie sur le port 6438
iptables -A OUTPUT -p tcp --dport 6438 --syn -m state --state NEW
-j ACCEPT
# autoriser les requêtes HTTP en sortie (pour les mises à jour)
iptables -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW
-j ACCEPT
# autoriser les requêtes DNS TCP et UDP en sortie
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
# autoriser les requêtes SMTP en sortie pour envoyer du courrier
iptables -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW
-j ACCEPT
# autoriser les requêtes ping en sortie
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
# vidage des chaînes (deplacé après la définition du PATH) iptables -F
# suppression des chaines utilisateur iptables -X
# default policy : DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
# on accepte les paquets relatifs aux connexions déjà ouvertes iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# accepte tout ce qui concerne l'interface loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
# accepte tout ce qui provient de l'adresse xx.xx.xx.xx #iptables -A INPUT -i eth0 -s xx.xx.xx.xx -j ACCEPT
# connexions acceptées en entrée (à adapter aux besoins)
# si la machine a un serveur SSH accessible de l'extérieur iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur web HTTP/HTTPS accessible de l'extérieur iptables -A INPUT -p tcp --syn -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
# si la machine a un serveur sur 2222/TCP accessible de l'extérieur iptables -A INPUT -p tcp --dport 2222 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur SMTP accessible de l'extérieur pour # recevoir du courrier iptables -A INPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur POP3 accessible de l'extérieur pour relever # du courrier iptables -A INPUT -p tcp --dport 110 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur FTP accessible de l'extérieur iptables -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
# si la machine a un serveur FTP sur le port 6438 accessible de # l'extérieur iptables -A INPUT -p tcp --dport 6438 --syn -m state --state NEW -j ACCEPT
# j'accepte le ping en entrée limité à 10/s et à 100 octets (à ajuster) iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/s -m length --length 28:100 -j ACCEPT
# on rejette "proprement" les paquets TCP indésirables en entrée # en plus d'être plus poli que DROP, cela évite le délai d'expiration # des requêtes IDENT entrantes émises par certains serveurs contactés iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état # INVALID avec DROP ou REJECT ?
# on rejette "proprement" les paquets UDP indésirables en entrée iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée # (les paquets ICMP indésirables sont bloqués silencieusement) iptables -A INPUT -p ! icmp -j REJECT --reject-with icmp-proto-unreachable
# connexions acceptées en sortie (à adapter aux besoins)
# autoriser les requêtes FTP en sortie (pour les mises à jour) iptables -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes FTP en sortie sur le port 6438 iptables -A OUTPUT -p tcp --dport 6438 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes HTTP en sortie (pour les mises à jour) iptables -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes DNS TCP et UDP en sortie iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
# autoriser les requêtes SMTP en sortie pour envoyer du courrier iptables -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
# autoriser les requêtes ping en sortie iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
Pascal Hambourg
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou DROP, sinon elles ne seront jamais lues.
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le
firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou
DROP, sinon elles ne seront jamais lues.
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou DROP, sinon elles ne seront jamais lues.
juv
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou DROP, sinon elles ne seront jamais lues.
Dans ce cas pourquoi le service FTP fonctionne t il?
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le
firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou
DROP, sinon elles ne seront jamais lues.
Dans ce cas pourquoi le service FTP fonctionne t il?
Le dns reste par terre, alors qu'il fonctionne parfaitement sans le firewall, les regles sont les suivantes:
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 --state NEW -j ACCEPT
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou DROP, sinon elles ne seront jamais lues.
Dans ce cas pourquoi le service FTP fonctionne t il?
Pascal Hambourg
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou DROP, sinon elles ne seront jamais lues.
Dans ce cas pourquoi le service FTP fonctionne t il?
Je ne vois pas où est la contradiction, la règle ACCEPT correspondant au FTP est placée avant les règles REJECT.
Il faut placer les règles INPUT ACCEPT avant les règles INPUT REJECT ou
DROP, sinon elles ne seront jamais lues.
Dans ce cas pourquoi le service FTP fonctionne t il?
Je ne vois pas où est la contradiction, la règle ACCEPT correspondant au
FTP est placée avant les règles REJECT.
-> Il n'y a pas de reject ou de drop erntre les regles accept FTP et DNS, elle se suivent !
Tu sembles mélanger les chaînes INPUT et OUTPUT. Observe l'ordre des règles de la chaîne INPUT seulement.
Jack H.
Le Fri, 29 Sep 2006 06:54:45 +0200, Juv a écrit:
Voici le fichier en l'état: [...]
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état # INVALID avec DROP ou REJECT ?
Je suis un peu parano, je mets DROP sans pitié ni hésitation
# on rejette "proprement" les paquets UDP indésirables en entrée iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée # (les paquets ICMP indésirables sont bloqués silencieusement) iptables -A INPUT -p ! icmp -j REJECT --reject-with icmp-proto-unreachable [...]
# autoriser les requêtes DNS TCP et UDP en sortie iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ici la règle INPUT pour le port 53 est placée après une règle REJECT, le DNS ne passe pas...
donne-nous la sortie de: iptables -nL INPUT && iptables -nL OUTPUT après que tes règles soient définies..
-- Jack H. "Tant que ça aide..."
Le Fri, 29 Sep 2006 06:54:45 +0200, Juv <julien_nospam@kmail.fr> a écrit:
Voici le fichier en l'état:
[...]
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état
# INVALID avec DROP ou REJECT ?
Je suis un peu parano, je mets DROP sans pitié ni hésitation
# on rejette "proprement" les paquets UDP indésirables en entrée
iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée
# (les paquets ICMP indésirables sont bloqués silencieusement)
iptables -A INPUT -p ! icmp
-j REJECT --reject-with icmp-proto-unreachable
[...]
# autoriser les requêtes DNS TCP et UDP en sortie
iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ici la règle INPUT pour le port 53 est placée après une règle REJECT, le
DNS ne passe pas...
donne-nous la sortie de:
iptables -nL INPUT && iptables -nL OUTPUT
après que tes règles soient définies..
# j'ai un doute : vaut-il mieux traiter les paquets TCP dans l'état # INVALID avec DROP ou REJECT ?
Je suis un peu parano, je mets DROP sans pitié ni hésitation
# on rejette "proprement" les paquets UDP indésirables en entrée iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# on rejette "proprement" les paquets non ICMP indésirables en entrée # (les paquets ICMP indésirables sont bloqués silencieusement) iptables -A INPUT -p ! icmp -j REJECT --reject-with icmp-proto-unreachable [...]
# autoriser les requêtes DNS TCP et UDP en sortie iptables -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Ici la règle INPUT pour le port 53 est placée après une règle REJECT, le DNS ne passe pas...
donne-nous la sortie de: iptables -nL INPUT && iptables -nL OUTPUT après que tes règles soient définies..
-- Jack H. "Tant que ça aide..."
Matthieu Moy
"Jack H." writes:
Je suis un peu parano, je mets DROP sans pitié ni hésitation
Le gain en sécurité est faible, et l'emmerdement des utilisateurs bien plus grand en DROP-ant les paquets en général. Sur une machine perso, c'est pas bien grave, mais quand c'est un firewall avec plusieurs utilisateurs derrière, c'est quand même très chiant d'essayer de se connecter à quelque chose sans y arriver alors qu'on aurait pu avoir un message d'erreur clair disant que c'est interdit.
-- Matthieu
"Jack H." <jack@bbpfrance.homelinux.org> writes:
Je suis un peu parano, je mets DROP sans pitié ni hésitation
Le gain en sécurité est faible, et l'emmerdement des utilisateurs bien
plus grand en DROP-ant les paquets en général. Sur une machine perso,
c'est pas bien grave, mais quand c'est un firewall avec plusieurs
utilisateurs derrière, c'est quand même très chiant d'essayer de se
connecter à quelque chose sans y arriver alors qu'on aurait pu avoir
un message d'erreur clair disant que c'est interdit.
Je suis un peu parano, je mets DROP sans pitié ni hésitation
Le gain en sécurité est faible, et l'emmerdement des utilisateurs bien plus grand en DROP-ant les paquets en général. Sur une machine perso, c'est pas bien grave, mais quand c'est un firewall avec plusieurs utilisateurs derrière, c'est quand même très chiant d'essayer de se connecter à quelque chose sans y arriver alors qu'on aurait pu avoir un message d'erreur clair disant que c'est interdit.
