DEFFONTAINES Vincent wrote:
C'est (je pense) une très mauvaise suggestion qui néglige les capacités de Connection Tracking de netfilter et la gestion des états. Avec une règle comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas partie d'une connection TCP établie, je peux lui positionner avec des flags TCP n'importe comment, et il passera le firewall ! Le filtrage IP sous linux a grandement évolué depuis les noyaux 2.2 et ipchains, mettez-vous à jour! Je suggère pour commencer (en laissant bien sûr les policies sur DROP) : iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Et il y a beaucoup mieux, et plus complet, à faire!
On peut aussi supprimer les paquets "NEW" et "ESTABLISHED" incorrectes : iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp --syn -m state --state ESTABLISHED -j DROP Mes 2 cts. :o) -- ============================================== | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===========================Debian=GNU/Linux===
