j'ai configuré un firewall pour un réseau privé, mais n'étant tout à
fait sûr de moi j'aimerais pouvoir faire controler le script pour savoir
ce que j'ai laissé comme trou: où puis-je m'adresser?
Deux questions:
1- après lecture de la doc, il semble que la lutte contre le "spoofing"
soit plus efficace en utilisant netfilter, j'ai donc mis dans mon script:
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
mais si on redémarre la machine, ce script ne sera pas exécuté: faut-il
modifier le script de démarrage d'iptables pour lui faire exécuter ce
script à chaque démarrage?
2- j'ai défini des nouvelles chaines (suivant les exemples):
/sbin/iptables -N LOG_DROP
/sbin/iptables -A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : "
/sbin/iptables -A LOG_DROP -j DROP
mais si je l'utilise, j'ai un message d'erreur:
iptables v1.2.7a: Couldn't load target
`LOG_DROP':/lib/iptables/libipt_LOG_DROP.so: cannot open shared object
file: No such file or directory
sauf à la fin du script:
/sbin/iptables -A FORWARD -j LOG_DROP
/sbin/iptables -A INPUT -j LOG_DROP
/sbin/iptables -A OUTPUT -j LOG_DROP
si je laisse ça, il ne râle pas!
Merci pour vos réponses.
--
François Patte. UFR de mathématiques et informatique.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gigli
François Patte wrote:
Bonjour,
j'ai configuré un firewall pour un réseau privé, mais n'étant tout à fait sûr de moi j'aimerais pouvoir faire controler le script pour savoir ce que j'ai laissé comme trou: où puis-je m'adresser? Demande à un ami de te scanner tes ports.
Deux questions:
1- après lecture de la doc, il semble que la lutte contre le "spoofing" soit plus efficace en utilisant netfilter, j'ai donc mis dans mon script:
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi
mais si on redémarre la machine, ce script ne sera pas exécuté: faut-il modifier le script de démarrage d'iptables pour lui faire exécuter ce script à chaque démarrage?
Oui tout à fait c'est une solution qui marche bien.
2- j'ai défini des nouvelles chaines (suivant les exemples):
/sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : " /sbin/iptables -A LOG_DROP -j DROP
mais si je l'utilise, j'ai un message d'erreur:
iptables v1.2.7a: Couldn't load target `LOG_DROP':/lib/iptables/libipt_LOG_DROP.so: cannot open shared object file: No such file or directory
sauf à la fin du script:
/sbin/iptables -A FORWARD -j LOG_DROP /sbin/iptables -A INPUT -j LOG_DROP /sbin/iptables -A OUTPUT -j LOG_DROP
si je laisse ça, il ne râle pas!
Je suis désolé mais là je ne comprends pas ce qui se passe, tout à l'air correct j'ai la même syntaxe et ça ne râle pas.
Merci pour vos réponses.
-- Pour m'écrire enlever '-nospam'.
François Patte wrote:
Bonjour,
j'ai configuré un firewall pour un réseau privé, mais n'étant tout à
fait sûr de moi j'aimerais pouvoir faire controler le script pour savoir
ce que j'ai laissé comme trou: où puis-je m'adresser?
Demande à un ami de te scanner tes ports.
Deux questions:
1- après lecture de la doc, il semble que la lutte contre le "spoofing"
soit plus efficace en utilisant netfilter, j'ai donc mis dans mon script:
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
mais si on redémarre la machine, ce script ne sera pas exécuté: faut-il
modifier le script de démarrage d'iptables pour lui faire exécuter ce
script à chaque démarrage?
Oui tout à fait c'est une solution qui marche bien.
2- j'ai défini des nouvelles chaines (suivant les exemples):
/sbin/iptables -N LOG_DROP
/sbin/iptables -A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : "
/sbin/iptables -A LOG_DROP -j DROP
mais si je l'utilise, j'ai un message d'erreur:
iptables v1.2.7a: Couldn't load target
`LOG_DROP':/lib/iptables/libipt_LOG_DROP.so: cannot open shared object
file: No such file or directory
sauf à la fin du script:
/sbin/iptables -A FORWARD -j LOG_DROP
/sbin/iptables -A INPUT -j LOG_DROP
/sbin/iptables -A OUTPUT -j LOG_DROP
si je laisse ça, il ne râle pas!
Je suis désolé mais là je ne comprends pas ce qui se passe, tout à l'air
correct j'ai la même syntaxe et ça ne râle pas.
j'ai configuré un firewall pour un réseau privé, mais n'étant tout à fait sûr de moi j'aimerais pouvoir faire controler le script pour savoir ce que j'ai laissé comme trou: où puis-je m'adresser? Demande à un ami de te scanner tes ports.
Deux questions:
1- après lecture de la doc, il semble que la lutte contre le "spoofing" soit plus efficace en utilisant netfilter, j'ai donc mis dans mon script:
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi
mais si on redémarre la machine, ce script ne sera pas exécuté: faut-il modifier le script de démarrage d'iptables pour lui faire exécuter ce script à chaque démarrage?
Oui tout à fait c'est une solution qui marche bien.
2- j'ai défini des nouvelles chaines (suivant les exemples):
/sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] : " /sbin/iptables -A LOG_DROP -j DROP
mais si je l'utilise, j'ai un message d'erreur:
iptables v1.2.7a: Couldn't load target `LOG_DROP':/lib/iptables/libipt_LOG_DROP.so: cannot open shared object file: No such file or directory
sauf à la fin du script:
/sbin/iptables -A FORWARD -j LOG_DROP /sbin/iptables -A INPUT -j LOG_DROP /sbin/iptables -A OUTPUT -j LOG_DROP
si je laisse ça, il ne râle pas!
Je suis désolé mais là je ne comprends pas ce qui se passe, tout à l'air correct j'ai la même syntaxe et ça ne râle pas.
