Salut à tous,
Pourriez-vous m'indiquer l'approche la plus réaliste pour se protéger des paquets de type ICMP sans pour autant empêcher le ping.
Quelle est la meilleure aproche ????
Je vous en remercie par avance
Modérateur: modos Ixus
icmp_rules () {
echo -n " Application des regles sur le ICMP: "
$IPTABLES -A ICMPTable -p icmp --icmp-type echo-reply -j ACCEPT
$IPTABLES -A ICMPTable -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A ICMPTable -p icmp --icmp-type source-quench -j ACCEPT
$IPTABLES -A ICMPTable -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A ICMPTable -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A ICMPTable -p icmp --icmp-type parameter-problem -j ACCEPT
# Pour le IPv6
#$IPTABLES -A ICMPTable -p icmp --icmp-type 33 -j ACCEPT
#$IPTABLES -A ICMPTable -p icmp --icmp-type 34 -j ACCEPT
# on vire le reste
$IPTABLES -A ICMPTable -j DROP
$IPTABLES -A INPUT -p icmp -j ICMPTable
voodoo.child a écrit:En sachant que je n'est pas de firewall qui protège mon réseau.
(j'ai pas la solution, c'est 'à faire' )
#############################################################################
## La table ICMP logue ou rejette les paquets ICMP
## On ne peut pas interdir tout ICMP car alors c'est le fonctionnement
## de TCP/IP lui même qui en patira
[ $DBG ] && echo Table ICMP
## WATCH est la fin du traitement ICMP
## Limite en nombre tous les messages ICMP
$IPTABLES -N WATCH
$IPTABLES -A WATCH -m limit --limit $ICMP_FLOOD -j ACCEPT
$IPTABLES -A WATCH -m limit --limit $ICMP_FLOOD --limit-burst 4 -j LOG --log-level info --log-prefix "FW,icmp watch:"
$IPTABLES -A WATCH -j DROP
## Le traitement des paquets ICMP commence ici
## Si ils ne sont pas ACCEPT ou WATCH, ils sont droppés
$IPTABLES -N ICMP
$IPTABLES -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT
$IPTABLES -A ICMP -p icmp --icmp-type port-unreachable -j ACCEPT
$IPTABLES -A ICMP -p icmp --icmp-type echo-request -m length --length 100:0xffff -j DROP
$IPTABLES -A ICMP -p icmp --icmp-type echo-request -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type destination-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type network-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type host-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type protocol-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type source-route-failed -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type network-unknown -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type host-unknown -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type network-prohibited -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type host-prohibited -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type TOS-network-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type TOS-host-unreachable -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type communication-prohibited -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type time-exceeded -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type ttl-zero-during-transit -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type ttl-zero-during-reassembly -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type parameter-problem -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type ip-header-bad -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type required-option-missing -j WATCH
## Ce paquet icmp est logué puis droppé
$IPTABLES -A ICMP -m limit --limit $ICMP_FLOOD -j LOG --log-level info --log-prefix "FW,Icmp drop:"
$IPTABLES -A ICMP -j DROP
## Type ICMP droppés
#IPTABLES -A ICMP -p icmp --icmp-type fragmentation-needed -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type host-precedence-violation -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type precedence-cutoff -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type source-quench -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type redirect -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type network-redirect -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type host-redirect -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type TOS-network-redirect -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type TOS-host-redirect -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type router-advertisement -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type router-solicitation -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type timestamp-request -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type timestamp-reply -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type address-mask-request -j WATCH
#IPTABLES -A ICMP -p icmp --icmp-type address-mask-reply -j WATCH
Retour vers Linux et BSD (forum généraliste)
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)