Iptables

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Iptables

Messagepar Barroudeur 13 » 04 Mai 2004 18:15

Voici la configuration que j'ai faite en suivant les indications du site d'antolien :

# localhost and ethernet.

/sbin/iptables -I INPUT -i lo -j ACCEPT

# Bloquer les pings

/sbin/iptables -I INPUT -p icmp --icmp-type 0 -j DROP
/sbin/iptables -I INPUT -p icmp --icmp-type 5 -j DROP
/sbin/iptables -I INPUT -p icmp --icmp-type 8 -j DROP

/sbin/iptables -I INPUT -p icmp -j ACCEPT
/sbin/iptables -I INPUT -i $GREEN_DEV -j ACCEPT

# régle pour le premier pc

/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.3 -p udp -m multiport --dport 10428 -j ACCEPT
/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.3 -p tcp -m multiport --dport 80,4663 -j ACCEPT

# régle pour le deuxiéme pc

/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.2 -p udp -m multiport --dport 3187 -j ACCEPT
/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.2 -p tcp -m multiport --dport 80,4664 -j ACCEPT

# régle pour le troisiéme pc

/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.4 -p udp -m multiport --dport 4434,4435 -j ACCEPT
/sbin/iptables -I FORWARD -i $GREEN_DEV -d 192.168.0.4 -p tcp -m multiport --dport 80,4665,4666,6881:7881 -j ACCEPT

#je bloque tout

/sbin/iptables -I FORWARD -i $GREEN_DEV -j DROP



Je précise que je suis sous ipcop 1,3.

Je voulait vous demander ce que vous en pensiez?????
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA

Messagepar Franck78 » 04 Mai 2004 19:27

On ne peut rien en penser à partir du moment ou l'on ne sait pas quel est le but à atteindre.

La seule certitude, c'est que c'est loin d'être complet:

Policy par défaut = ?
Pas de gestion du statefull
Pas de checking des paquets bizzaroïdes
Aucun log
Pas de protection DoS (flood)

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Barroudeur 13 » 04 Mai 2004 19:30

Je cherche a tout bloquer sauf ce qui passe par les ports cités. de plus je cherche à bloquer les requéte pings... Pour Policy par défaut, gestion du statefull, checking des paquets bizzaroïdes, Aucun log et protection DoS (flood) je ne sais comment faire...
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA

Messagepar Fredish » 04 Mai 2004 20:57

C'est l'option -P pour la police.

Par exemple:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Avec ca, tout est bloqué, et tu choisis après ce que tu veux accepter. Sur ipcop(que je ne connais pas), je crois que les paquets en sortie sont autorisés.

Tu devrais aller jeter un oeil sur le tuto de lea.
Dernière édition par Fredish le 04 Mai 2004 21:19, édité 1 fois au total.
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar Franck78 » 04 Mai 2004 21:06

Allez ca fait longtemps que je ne l'ai pas conseillé :

http://christian.caleca.free.fr

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité