[iptables] Que pensez-vous de simple_firewall.rules ?

Applications, problèmes de configuration réseau
Répondre
bobo
Elfe
Messages : 593
Inscription : mar. 08 avr. 2014, 22:47

[iptables] Que pensez-vous de simple_firewall.rules ?

Message par bobo »

Bonjour,

Je me suis lancé dans la configuration d'iptables… La doc francophone est fort bien pourvue : http://wiki.archlinux.fr/Iptables , la page équivalente en Anglais m'a semblé plus théorique. J'ai dû bidouiller un peu pour faire fonctionner mon client mail. J'ai calé pour manaplus, dont j'ai peiné à trouver les ports utilisés.

En regardant dans le système, je suis tombé sur ce fichier : /etc/iptables/simple_firewall.rules

Code : Tout sélectionner

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -j REJECT --reject-with icmp-proto-unreachable 
COMMIT
Si je comprends bien :
— toutes les OUTPUT sont acceptées
— les FORWARD sont bloqués
— pour les INPUT, elles sont bloquées par défaut, avec une série d'exceptions

Exceptions sur les entrées :
— ping accepté, même venant de l'extérieur
— toutes les connections initiées par la machines sont acceptées
— la ligne « lo » c'est pour la boucle locale, au cas où on ferait tourner quelque chose sur la machine (genre ruby-docs)

J'ai du mal à comprendre les lignes en REJECT (pas évoqué dans le tuto fr)… il faudrait que je creuse un peu.

Ai-je bien compris ?
Que pensez-vous de cette configuration ?
dwm — BÉPO — vim — “more is less !”
Haut
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10711
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [iptables] Que pensez-vous de simple_firewall.rules ?

Message par FoolEcho »

bobo a écrit :la page équivalente en Anglais m'a semblé plus théorique.
En complément du français, tu as aussi Simple_stateful_firewall qui devrait combler tes trous.
bobo a écrit :Si je comprends bien :
— toutes les OUTPUT sont acceptées
— les FORWARD sont bloqués
— pour les INPUT, elles sont bloquées par défaut, avec une série d'exceptions

Exceptions sur les entrées :
— ping accepté, même venant de l'extérieur
— toutes les connections initiées par la machines sont acceptées
— la ligne « lo » c'est pour la boucle locale, au cas où on ferait tourner quelque chose sur la machine (genre ruby-docs)
C'est l'idée, oui.
La base de la configuration est de tout bloquer de l'extérieur pour ensuite dire ce qui est autorisé ou non.
bobo a écrit :J'ai du mal à comprendre les lignes en REJECT (pas évoqué dans le tuto fr)… il faudrait que je creuse un peu.
C'est une question de normes RFC (qui régissent les règles au niveau internet) et pour répondre à certaines attaques tordues. Cf. le lien précédent.
bobo a écrit :Que pensez-vous de cette configuration ?
Qu'elle peut suffire.
Après si tu as recours à du ssh ou d'autres serveurs sur ton réseau, il est préférable de l'affiner.

À toutes fins utiles, je précise que fidèle à ses principes, installer iptables sous Arch nécessite sa configuration. Par défaut, il n'y a aucune règle qui s'applique une fois le serveur lancé (je vois que le wiki anglophone le stipule mais pas nous... pas encore ^^).
«The following statement is not true. The previous statement is true.» :nage:
Haut
Répondre

Revenir à « Applications, réseau et configuration »