Merci à tous pour vous judicieux conseils, juste quelques remarques avant
de retourner à mon fichier:
1) Pour la police (-P), faut il mettre REJECT ou DROP ? Sachant que suite
à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il
reste ? Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou
est-ce trop parano pour une utilisation mono-utilisateur ? Qu'est ce que
cela peut bloquer ? trojans ?
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître
TiChou ne semblent pas fonctionner. Je fouille tout cela.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini
mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les
lignes suivantes sont convenables ? (ie si ce n'est pas traiter dans les
premieres lignes à cause du limit, ce sont les trois dernières lignes
qui traitent le paquet et est-ce que le choix de "2" dans le limit est
convenable ?)
iptables -A INPUT -m limit --limit 2/s -j REJECT
iptables -A OUTPUT -m limit --limit 2/s -j REJECT
iptables -A FORWARD -m limit --limit 2/s -j REJECT
iptables -A INPUT DROP
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Dorian
Le 18-07-2004, Non Compos Mentis a écrit:
Merci à tous pour vous judicieux conseils, juste quelques remarques avant de retourner à mon fichier: 1) Pour la police (-P), faut il mettre REJECT ou DROP ? Sachant que suite à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il reste ? Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou est-ce trop parano pour une utilisation mono-utilisateur ? Qu'est ce que cela peut bloquer ? trojans ?
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître TiChou ne semblent pas fonctionner. Je fouille tout cela.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les lignes suivantes sont convenables ? (ie si ce n'est pas traiter dans les premieres lignes à cause du limit, ce sont les trois dernières lignes qui traitent le paquet et est-ce que le choix de "2" dans le limit est convenable ?)
iptables -A INPUT -m limit --limit 2/s -j REJECT iptables -A OUTPUT -m limit --limit 2/s -j REJECT iptables -A FORWARD -m limit --limit 2/s -j REJECT iptables -A INPUT DROP iptables -A OUTPUT DROP iptables -A FORWARD DROP
Merci pour tous vos conseils, Fred
Juste une petite précision, policy ne veut pas dire police mais politique. Il s'agit ici d'une politique de sécurité et non pas d'une police de sécurité.
-- Il ne peut pas y avoir de science immorale, pas plus qu'il ne peut y avoir de morale scientifique.
-- Henri Poincare
Le 18-07-2004, Non Compos Mentis <noncomposmentis@spam.free.fr> a écrit:
Merci à tous pour vous judicieux conseils, juste quelques remarques avant
de retourner à mon fichier:
1) Pour la police (-P), faut il mettre REJECT ou DROP ? Sachant que suite
à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il
reste ? Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou
est-ce trop parano pour une utilisation mono-utilisateur ? Qu'est ce que
cela peut bloquer ? trojans ?
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître
TiChou ne semblent pas fonctionner. Je fouille tout cela.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini
mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les
lignes suivantes sont convenables ? (ie si ce n'est pas traiter dans les
premieres lignes à cause du limit, ce sont les trois dernières lignes
qui traitent le paquet et est-ce que le choix de "2" dans le limit est
convenable ?)
iptables -A INPUT -m limit --limit 2/s -j REJECT
iptables -A OUTPUT -m limit --limit 2/s -j REJECT
iptables -A FORWARD -m limit --limit 2/s -j REJECT
iptables -A INPUT DROP
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
Merci pour tous vos conseils,
Fred
Juste une petite précision, policy ne veut pas dire police mais
politique. Il s'agit ici d'une politique de sécurité et non pas d'une
police de sécurité.
--
Il ne peut pas y avoir de science immorale,
pas plus qu'il ne peut y avoir de morale scientifique.
Merci à tous pour vous judicieux conseils, juste quelques remarques avant de retourner à mon fichier: 1) Pour la police (-P), faut il mettre REJECT ou DROP ? Sachant que suite à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il reste ? Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou est-ce trop parano pour une utilisation mono-utilisateur ? Qu'est ce que cela peut bloquer ? trojans ?
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître TiChou ne semblent pas fonctionner. Je fouille tout cela.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les lignes suivantes sont convenables ? (ie si ce n'est pas traiter dans les premieres lignes à cause du limit, ce sont les trois dernières lignes qui traitent le paquet et est-ce que le choix de "2" dans le limit est convenable ?)
iptables -A INPUT -m limit --limit 2/s -j REJECT iptables -A OUTPUT -m limit --limit 2/s -j REJECT iptables -A FORWARD -m limit --limit 2/s -j REJECT iptables -A INPUT DROP iptables -A OUTPUT DROP iptables -A FORWARD DROP
Merci pour tous vos conseils, Fred
Juste une petite précision, policy ne veut pas dire police mais politique. Il s'agit ici d'une politique de sécurité et non pas d'une police de sécurité.
-- Il ne peut pas y avoir de science immorale, pas plus qu'il ne peut y avoir de morale scientifique.
-- Henri Poincare
TiChou
Dans le message <news:, *Non Compos Mentis* tapota sur f.c.o.l.configuration :
Merci à tous pour vous judicieux conseils, juste quelques remarques avant de retourner à mon fichier: 1) Pour la police (-P), faut il mettre REJECT ou DROP ?
Les cibles valables pour la politique par défaut sont ACCEPT ou DROP.
Sachant que suite à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il reste ?
il est effectivement bon que les paquets à ignorer le soient au travers d'une règle bien spécifique.
Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou est-ce trop parano pour une utilisation mono-utilisateur ?
Pour une utilisation mono-utilisateur c'est effectivement un peu strict. Tout dépend aussi de votre utilisation d'Internet, si elle se limite à l'utilisation de toujours les mêmes services ou bien qu'il puisse vous arriver de temps en temps de vous connecter sur des services moins courant.
Qu'est ce que cela peut bloquer ?
Tout ce que vous n'avez pas autorisé. :)
trojans ?
Par exemple. C'est pour cela que par contre sur une machine multi-utilisateurs ou sur une machine serveur on mettra plus facilement sur la chaîne OUTPUT une politique par défaut à DROP.
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître TiChou ne semblent pas fonctionner. Je fouille tout cela.
Le module ip_conntrack_ftp est-il bien chargé ? Je pense que non vu qu'il n'apparaissait pas dans votre script de firewall. De plus, les logs du firewall devraient vous en dire plus.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les lignes suivantes sont convenables ?
Oui.
(ie si ce n'est pas traiter dans les premieres lignes à cause du limit, ce sont les trois dernières lignes qui traitent le paquet et est-ce que le choix de "2" dans le limit est convenable ?)
La limite dépend du débit de la ligne, du niveau de paranoïa, du nombre de connexions, etc. L'expérience vous le dira. Malgré tout, je vous recommande plutôt 15/minute.
iptables -A INPUT -m limit --limit 2/s -j REJECT iptables -A OUTPUT -m limit --limit 2/s -j REJECT iptables -A FORWARD -m limit --limit 2/s -j REJECT iptables -A INPUT DROP iptables -A OUTPUT DROP iptables -A FORWARD DROP
Merci pour tous vos conseils,
De rien.
-- TiChou
Dans le message <news:pan.2004.07.18.12.52.16.977999@spam.free.fr>,
*Non Compos Mentis* tapota sur f.c.o.l.configuration :
Merci à tous pour vous judicieux conseils, juste quelques remarques avant
de retourner à mon fichier:
1) Pour la police (-P), faut il mettre REJECT ou DROP ?
Les cibles valables pour la politique par défaut sont ACCEPT ou DROP.
Sachant que suite à toutes mes règles, je rajouterais une règle qui
traitera tout ce qu'il reste ?
il est effectivement bon que les paquets à ignorer le soient au travers
d'une règle bien spécifique.
Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou est-ce
trop parano pour une utilisation mono-utilisateur ?
Pour une utilisation mono-utilisateur c'est effectivement un peu strict.
Tout dépend aussi de votre utilisation d'Internet, si elle se limite à
l'utilisation de toujours les mêmes services ou bien qu'il puisse vous
arriver de temps en temps de vous connecter sur des services moins courant.
Qu'est ce que cela peut bloquer ?
Tout ce que vous n'avez pas autorisé. :)
trojans ?
Par exemple. C'est pour cela que par contre sur une machine
multi-utilisateurs ou sur une machine serveur on mettra plus facilement sur
la chaîne OUTPUT une politique par défaut à DROP.
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle
que Maître TiChou ne semblent pas fonctionner. Je fouille tout cela.
Le module ip_conntrack_ftp est-il bien chargé ? Je pense que non vu qu'il
n'apparaissait pas dans votre script de firewall.
De plus, les logs du firewall devraient vous en dire plus.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini
mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les
lignes suivantes sont convenables ?
Oui.
(ie si ce n'est pas traiter dans les premieres lignes à cause du limit, ce
sont les trois dernières lignes qui traitent le paquet et est-ce que le
choix de "2" dans le limit est convenable ?)
La limite dépend du débit de la ligne, du niveau de paranoïa, du nombre de
connexions, etc. L'expérience vous le dira. Malgré tout, je vous recommande
plutôt 15/minute.
iptables -A INPUT -m limit --limit 2/s -j REJECT
iptables -A OUTPUT -m limit --limit 2/s -j REJECT
iptables -A FORWARD -m limit --limit 2/s -j REJECT
iptables -A INPUT DROP
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
Dans le message <news:, *Non Compos Mentis* tapota sur f.c.o.l.configuration :
Merci à tous pour vous judicieux conseils, juste quelques remarques avant de retourner à mon fichier: 1) Pour la police (-P), faut il mettre REJECT ou DROP ?
Les cibles valables pour la politique par défaut sont ACCEPT ou DROP.
Sachant que suite à toutes mes règles, je rajouterais une règle qui traitera tout ce qu'il reste ?
il est effectivement bon que les paquets à ignorer le soient au travers d'une règle bien spécifique.
Faut-il mettre une police de REJECT/DROP par défaut sur OUTPUT ou est-ce trop parano pour une utilisation mono-utilisateur ?
Pour une utilisation mono-utilisateur c'est effectivement un peu strict. Tout dépend aussi de votre utilisation d'Internet, si elle se limite à l'utilisation de toujours les mêmes services ou bien qu'il puisse vous arriver de temps en temps de vous connecter sur des services moins courant.
Qu'est ce que cela peut bloquer ?
Tout ce que vous n'avez pas autorisé. :)
trojans ?
Par exemple. C'est pour cela que par contre sur une machine multi-utilisateurs ou sur une machine serveur on mettra plus facilement sur la chaîne OUTPUT une politique par défaut à DROP.
2) Pour le FTP, j'ai quelques problèmes, les règles proposées et la règle que Maître TiChou ne semblent pas fonctionner. Je fouille tout cela.
Le module ip_conntrack_ftp est-il bien chargé ? Je pense que non vu qu'il n'apparaissait pas dans votre script de firewall. De plus, les logs du firewall devraient vous en dire plus.
3) je voudrais faire un règle qui rejette tout ce que je n'ai pas défini mais qui DROP dans le cas de trop nombreuses requêtes. Est ce que les lignes suivantes sont convenables ?
Oui.
(ie si ce n'est pas traiter dans les premieres lignes à cause du limit, ce sont les trois dernières lignes qui traitent le paquet et est-ce que le choix de "2" dans le limit est convenable ?)
La limite dépend du débit de la ligne, du niveau de paranoïa, du nombre de connexions, etc. L'expérience vous le dira. Malgré tout, je vous recommande plutôt 15/minute.
iptables -A INPUT -m limit --limit 2/s -j REJECT iptables -A OUTPUT -m limit --limit 2/s -j REJECT iptables -A FORWARD -m limit --limit 2/s -j REJECT iptables -A INPUT DROP iptables -A OUTPUT DROP iptables -A FORWARD DROP
