Reprise du message précédent :
oui je sais c'est ceinture et bretelles    
 
Sinon, je pense que cela a un interêt, car qq'un qui essaie de faire du spoofing sera directement droppé.En effet, même si qq'un essaie de tromper mon serveur avec une adresse non reconnue par le serveur, il n'en est pas moins indésirable et donc droppé. Maintenant, peut-être que je me trompe. Je reste assez modeste, car c'est mon premier script iptables, je ne suis pas inofrmaticien de formation, et cela fait 2 ans que j'avais pas touché à linux (j'ai commencé en 95).
 
Puisque tu t'interesses à mon script, et je t'en remercie, sais tu pourquoi j'ai toujours la fonctionnalité dhcp alors que je n'ai pas encore ouvert les ports???

bobor a écrit a écrit : oui je sais c'est ceinture et bretelles       Sinon, je pense que cela a un interêt, car qq'un qui essaie de faire du spoofing sera directement droppé.En effet, même si qq'un essaie de tromper mon serveur avec une adresse non reconnue par le serveur, il n'en est pas moins indésirable et donc droppé. Maintenant, peut-être que je me trompe. Je reste assez modeste, car c'est mon premier script iptables, je ne suis pas inofrmaticien de formation, et cela fait 2 ans que j'avais pas touché à linux (j'ai commencé en 95).   Puisque tu t'interesses à mon script, et je t'en remercie, sais tu pourquoi j'ai toujours la fonctionnalité dhcp alors que je n'ai pas encore ouvert les ports???

Vi mé le spoofing, par définition ca consiste à usurper une adresse du/des réseau(x) IP que l'on "attaque" ... hors toi, tes quatres réseaux IP sont 192.168.n.0 (avec n=100,101,102,103) ... donc t'es pas concerné par les les paquets qui viennent de "réseaux privés" 10.0.0.0 et 172.16.0.0 ... (d'ailleur le bon netmask cé 16 et pas 12 ...) .. donc tu fais des vérifications inutiles par le filtre de paquets ...

bobor a écrit a écrit : oui je sais c'est ceinture et bretelles       Sinon, je pense que cela a un interêt, car qq'un qui essaie de faire du spoofing sera directement droppé.En effet, même si qq'un essaie de tromper mon serveur avec une adresse non reconnue par le serveur, il n'en est pas moins indésirable et donc droppé. Maintenant, peut-être que je me trompe. Je reste assez modeste, car c'est mon premier script iptables, je ne suis pas inofrmaticien de formation, et cela fait 2 ans que j'avais pas touché à linux (j'ai commencé en 95).   Puisque tu t'interesses à mon script, et je t'en remercie, sais tu pourquoi j'ai toujours la fonctionnalité dhcp alors que je n'ai pas encore ouvert les ports???

Tu peux m'expliquer les paquets qui matchent ces règles là ... .. :
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j allowed  #dns
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 -j DROP

bah c'est pour récupérer les infos DNS (wanadoo en l'occurence) lorsque je surf sur le net. Le réseau interroge le serveur DNS, qui interroge à son tour wanadoo e j'accepte la réponse.

 
Oui j'avais déjà corrigé en 16.  
 
Ceci dit, une personne qui essaie une requête chez moi sur mon interface internet avec une adresse type 10.0.0.x n'est pas la bienvenue chez moi. C'est tout. Je sais qu'elle n'a pas de bonnes intentions donc DROP.

Je te demande pas ce que tu veux faire (j'ai ma petite idée la dessus ... ) mais quels sont les paquets "réellement" matchés par ces 2 règles là ...
P.S. : Actuellement tu laisses passer pratiquement (voire tous) passer tous les paquets UDP ...

Mais si ces adresses n'existent pas sur tes réseaux, ces paquets n'iront pas plus loin (même si tu ne les droppe pas explicitement ...) car ton fw/passerelle ne connait aucune route pour les acheminer ...
Et qqun qui a une adresse qui a appartient à un des netblocks de Yahooo, tu fais comment ?
les "pirates" qui utilisent des adresses privées pour spoofer sont des amateurs qui ne lancent des outils comme SATAN ou des scanners à la sauvette ... on les arrête facilement ... mais les autres ? ceux qui font un minimum de paramétrage de ces outils pour que les paquets aient eu moins une adresse IP source à peu près normale ?

Zzozo a écrit a écrit :   Je te demande pas ce que tu veux faire (j'ai ma petite idée la dessus ... ) mais quels sont les paquets "réellement" matchés par ces 2 règles là ... P.S. : Actuellement tu laisses passer pratiquement (voire tous) passer tous les paquets UDP ...

 
Je veux bien te croire mais je ne comprends malheureusementpas...  
Ah Si horeur, je viens de comprendre    
-udp allowed
-A allowed -tcp
 
Trop c..
 
Bon ceci dit après modif j'avais mis ACCEPT car cea ne marchait pas. Je vais donc réessayer avec un allowed plus cohérent.
 
Merci de tes remarques, je viens de faire un grand pas!

D'ailleurs, est-ce utile de rajouter un DROP à la fin de chaque chaine perso comme le -A udpincomingpackets -s 0/0 -DROP

En principe non, puisque tu as défini la politique par défaut sur drop ... et si ton paquet ne matche aucune règle ou ensemble de règle qui le fait sortir du traitement avant la fin (par un DROP ou ACCEPT ou autre ... explicite), il est traité par la politique par défaut

Salut Zzozo
 
Ca t'ennuie pas si je te donne le contenu de mon fichier avec mes regles Iptables (rediger en fonction des tes conseils bien sur ) en MP ?

Au fait d'ailleurs des trucs du style :
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j allowed
il me semble que cé équivalent à :
$IPTABLES -A udpincoming_packets -p UDP --source-port 53 -j allowed

Gaellick a écrit a écrit : Salut Zzozo   Ca t'ennuie pas si je te donne le contenu de mon fichier avec mes regles Iptables (rediger en fonction des tes conseils bien sur ) en MP ?

Et le mien t'as recu ou pas ? pas eu de retour depuis ?
Mais vas y envoie le tien si tu veux ...

Heu non ! J'ai rien recu ? A quelle adresse tu l'as envoye ?

Ben celle de ton profil comme tu m'avais indiqué ... mais des fois Mammadoo me joue des tours ..... pas grave je réessaierais ... envoies moi en MP tes règles que je jette un coup d'oeil, car jé l'impression que tu as pu bien avancer sans mon script on dirait ?

C'est fait , je te souhaite bon courage parceque putain il est long !!!!