Avant tout je voulais savoir si je pouvais me permettre de demander aux
amateurs iptables presents sur cette liste, si ils pouvaient jeter un
coup d'oeil sur mon script firewall.
J'aimerais savoir ce qu'ils en pensent, et comment l'ameliorer si il est
pas trop foireux.
Si je peux, je renverrais un mail sur la liste, autrement j'irais faire
un tour sur la liste specifique.
Merci.
- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
___________________________________________________________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Quant aux types ICMP consideres comme RELATED, la je trouve que cela se complique. Il y a ce qui est appele les blind icmp attacks. Le type source quench est utilise pour ralentir les connexions,
C'est bien pour cette raison que je recommande de le bloquer.
de meme, les protocol unreachable, port unreachable, et fragmentation needed peuvent couper une connexion.
L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire tous les types ICMP.
Je crains qu'on ne puisse faire autrement que s'en remettre à la vérification du numéro de séquence TCP par le suivi de connexion de Netfilter pour classer un message d'erreur ICMP comme RELATED ou INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une connexion TCP.
Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous les deux juges ; je ne m'y connais pas assez.
Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
Finalement, je vais enlever le filtrage sur les TCP flags a moins que j'arrive un jour a etre certains du fonctionnement. Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le type ICMP source-quench, et autoriser les autres pour le bon fonctionnement, en faisant confiance a netfilter pour la redirection des paquets en INVALID.
Merci beaucoup pour les avis de chacun.
- -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
___________________________________________________________ Try the all-new Yahoo! Mail. "The New Version is radically easier to use"
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pascal Hambourg wrote:
franck a écrit :
Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
complique. Il y a ce qui est appele les blind icmp attacks. Le type
source quench est utilise pour ralentir les connexions,
C'est bien pour cette raison que je recommande de le bloquer.
de meme, les
protocol unreachable, port unreachable, et fragmentation needed peuvent
couper une connexion.
L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
tous les types ICMP.
Je crains qu'on ne puisse faire autrement que s'en remettre à la
vérification du numéro de séquence TCP par le suivi de connexion de
Netfilter pour classer un message d'erreur ICMP comme RELATED ou
INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une
connexion TCP.
Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
les deux juges ; je ne m'y connais pas assez.
Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère,
ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
Finalement, je vais enlever le filtrage sur les TCP flags a moins que
j'arrive un jour a etre certains du fonctionnement.
Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le
type ICMP source-quench, et autoriser les autres pour le bon
fonctionnement, en faisant confiance a netfilter pour la redirection des
paquets en INVALID.
Merci beaucoup pour les avis de chacun.
- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Quant aux types ICMP consideres comme RELATED, la je trouve que cela se complique. Il y a ce qui est appele les blind icmp attacks. Le type source quench est utilise pour ralentir les connexions,
C'est bien pour cette raison que je recommande de le bloquer.
de meme, les protocol unreachable, port unreachable, et fragmentation needed peuvent couper une connexion.
L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire tous les types ICMP.
Je crains qu'on ne puisse faire autrement que s'en remettre à la vérification du numéro de séquence TCP par le suivi de connexion de Netfilter pour classer un message d'erreur ICMP comme RELATED ou INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une connexion TCP.
Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous les deux juges ; je ne m'y connais pas assez.
Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
Finalement, je vais enlever le filtrage sur les TCP flags a moins que j'arrive un jour a etre certains du fonctionnement. Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le type ICMP source-quench, et autoriser les autres pour le bon fonctionnement, en faisant confiance a netfilter pour la redirection des paquets en INVALID.
Merci beaucoup pour les avis de chacun.
- -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
