oulà... pourquoi faire simple quand on peut faire compliqué :)))
primo:Personnellement je te conseillerais de de tout refuser par défaut et d'accepter aprés.
deuxio: utilises et abuses du match -m multiport plutot que toutes ces lignes
tertio, tu n'acceptes pas l'interface lo. tu risques d'avoir de gros problèmes avec X et d'autres programmes
quarto: tu acceptes tout ICMP de n'importe qui. Ce n'est pas la cible privilégiée de scripts kiddies, d'accord, mais ce n'est pas conseillé quand même.
quinto: La table par défaut est 'filter' inutile de le préciser.. (esthétique encore :))) ce qui donne pour résumé
sexto: Tu ne logues rien.. Comment savoir dans ce cas si tu es attaqué ? un firewall sans log est un steak sans moutarde.. fade :)
# Refus de tout par défaut iptables -P INPUT DROP
# acceptation de la connexion à tes serveurs: iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,21,22,443,4662 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 4672 # ATTENTION! VERIFIES QUE TES SERVEURS SOIENT BIEN A JOUR ET QU'IL # N'AIENT PAS DE TROUS DE SECURITE
# acceptation de l'interface locale iptables -A INPUT -i lo -j ACCEPT
# acceptation du trafic en relation avec une connexion établie iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# log de tout ce qui n'est pas passé iptables -A INPUT -j LOG
pour mon primo: la première commande est la réponse pour mon deuxio.. voir deuxième et troisième commande tertio: voir quatrième quarto: cinquième commande: tout ICMP en provenance de trouducul est interdit si il n'est pas en relation avec une connexion établie par tes soins.. CQFD sexto: dernière ligne
iptables -t filter -A OUTPUT -j ACCEPT iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
???????????????????????? tu acceptes tout par ta première ligne.. ta deuxième ne sert à rien :) et ta règle par défaut de OUTPUT est 'ACCEPT'. dépense d'énergie inutile :))
dans ton cas, je laisserais la chaine OUTPUT vide avec par défaut 'ACCEPT'. si tu as confiance en tes utilisateurs.. Aprés tout, le but est que l'on ne puisse pas rentrer, pas que tu filtres ce qui sort.. Mais ce n'est qu'un avis personnel et il est criticable.
Amitiés Philippe
Salut
Bonjour
Pourriez vous me diore ce que vous pensez de ce script iptable
oulà... pourquoi faire simple quand on peut faire compliqué :)))
primo:Personnellement je te conseillerais de de tout refuser par défaut et d'accepter aprés.
deuxio: utilises et abuses du match -m multiport plutot que toutes ces lignes
tertio, tu n'acceptes pas l'interface lo.
tu risques d'avoir de gros problèmes avec X et d'autres programmes
quarto: tu acceptes tout ICMP de n'importe qui.
Ce n'est pas la cible privilégiée de scripts kiddies, d'accord, mais ce n'est pas conseillé quand
même.
quinto: La table par défaut est 'filter' inutile de le préciser.. (esthétique encore :)))
ce qui donne pour résumé
sexto: Tu ne logues rien.. Comment savoir dans ce cas si tu es attaqué ?
un firewall sans log est un steak sans moutarde.. fade :)
# Refus de tout par défaut
iptables -P INPUT DROP
# acceptation de la connexion à tes serveurs:
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,21,22,443,4662 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4672
# ATTENTION! VERIFIES QUE TES SERVEURS SOIENT BIEN A JOUR ET QU'IL
# N'AIENT PAS DE TROUS DE SECURITE
# acceptation de l'interface locale
iptables -A INPUT -i lo -j ACCEPT
# acceptation du trafic en relation avec une connexion établie
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# log de tout ce qui n'est pas passé
iptables -A INPUT -j LOG
pour mon primo: la première commande est la réponse
pour mon deuxio.. voir deuxième et troisième commande
tertio: voir quatrième
quarto: cinquième commande: tout ICMP en provenance de trouducul est interdit si il n'est pas en
relation avec une connexion établie par tes soins.. CQFD
sexto: dernière ligne
iptables -t filter -A OUTPUT -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
????????????????????????
tu acceptes tout par ta première ligne.. ta deuxième ne sert à rien :)
et ta règle par défaut de OUTPUT est 'ACCEPT'.
dépense d'énergie inutile :))
dans ton cas, je laisserais la chaine OUTPUT vide avec par défaut 'ACCEPT'.
si tu as confiance en tes utilisateurs..
Aprés tout, le but est que l'on ne puisse pas rentrer, pas que tu filtres ce qui sort..
Mais ce n'est qu'un avis personnel et il est criticable.
oulà... pourquoi faire simple quand on peut faire compliqué :)))
primo:Personnellement je te conseillerais de de tout refuser par défaut et d'accepter aprés.
deuxio: utilises et abuses du match -m multiport plutot que toutes ces lignes
tertio, tu n'acceptes pas l'interface lo. tu risques d'avoir de gros problèmes avec X et d'autres programmes
quarto: tu acceptes tout ICMP de n'importe qui. Ce n'est pas la cible privilégiée de scripts kiddies, d'accord, mais ce n'est pas conseillé quand même.
quinto: La table par défaut est 'filter' inutile de le préciser.. (esthétique encore :))) ce qui donne pour résumé
sexto: Tu ne logues rien.. Comment savoir dans ce cas si tu es attaqué ? un firewall sans log est un steak sans moutarde.. fade :)
# Refus de tout par défaut iptables -P INPUT DROP
# acceptation de la connexion à tes serveurs: iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,21,22,443,4662 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 4672 # ATTENTION! VERIFIES QUE TES SERVEURS SOIENT BIEN A JOUR ET QU'IL # N'AIENT PAS DE TROUS DE SECURITE
# acceptation de l'interface locale iptables -A INPUT -i lo -j ACCEPT
# acceptation du trafic en relation avec une connexion établie iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# log de tout ce qui n'est pas passé iptables -A INPUT -j LOG
pour mon primo: la première commande est la réponse pour mon deuxio.. voir deuxième et troisième commande tertio: voir quatrième quarto: cinquième commande: tout ICMP en provenance de trouducul est interdit si il n'est pas en relation avec une connexion établie par tes soins.. CQFD sexto: dernière ligne
iptables -t filter -A OUTPUT -j ACCEPT iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
???????????????????????? tu acceptes tout par ta première ligne.. ta deuxième ne sert à rien :) et ta règle par défaut de OUTPUT est 'ACCEPT'. dépense d'énergie inutile :))
dans ton cas, je laisserais la chaine OUTPUT vide avec par défaut 'ACCEPT'. si tu as confiance en tes utilisateurs.. Aprés tout, le but est que l'on ne puisse pas rentrer, pas que tu filtres ce qui sort.. Mais ce n'est qu'un avis personnel et il est criticable.
