Vincent Bernat a écrit :
le lien : http://smhteam.info/upload_wiki/firewall.tar.gz
Personnellement, je ne suis pas fan du surtraitement en ce qui
concerne les états. Bon point de traiter ce qui est --state NEW, mais
personnellement, je ne ferai pas tout un cinéma avec ce qui est
RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela
peut t'apporter de mauvaises surprises, notamment par exemple les DNS
qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à
123.
D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on
en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la
limitation des ICMP RELATED car certains types non indispensables
(Redirect, Source Quench) peuvent servir à des attaques. Concernant la
limitation des ports en RELATED, je ne connais pas d'application qui
utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En
tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent
que des connexions simples avec des états NEW et ESTABLISHED.
Pareil pour le coup de vérifier les TCP flags.
Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas
strictement invalides puisqu'il y a une priorité entre flags. RST ayant
priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN
équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les
combinaisons non standard ne peuvent affecter que des piles IP
vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de
machines qui sont derrière.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
