Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
921 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

securiser iptables

n°712487
thierry_b
Posté le 28-07-2005 à 14:29:45  profilanswer
 

Bonjour,
 
sur le net j'ai trouvé ces règles là pour sécuriser iptables:
 
 # Autres protections réseau
       echo 1 > /proc/sys/net/ipv4/tcp_syncookies
       echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts  
       echo 1 >/proc/sys/net/ipv4/conf/all/log_martians  
       echo 1 > /proc/sys/net/ipv4/ip_always_defrag
       echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
       echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
       echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
 
J'aimerais bien que quelqu'un me les explique si bien sure ca ne le dérange pas, et me dise si une de ces règles peut être génante ou si elles sont vraiment toutes souhaitables?
 
Merci bcp.
A+


Message édité par thierry_b le 28-07-2005 à 14:31:11
mood
Publicité
Posté le 28-07-2005 à 14:29:45  profilanswer
 

n°712488
Jubijub
Parce que je le VD bien
Posté le 28-07-2005 à 15:07:40  profilanswer
 

oula...
 
Alors :  
#1 tu n'es pas sur la bonne catégorie : IPTables c le programme qui permet d'administrer le filtrage des connections réseau sous linux...la bonne catégorie est donc OS Alternatifs : http://forum.hardware.fr/hardwaref [...] ujet-1.htm
 
ensuite de ca si tu ne comprends pas ce que font ces règles peut etre tu ne devrais pas utiliser iptables...
 
enfin si tu tiens vraiment à l'apprendre, alors tu devrais lire le manuel d'iptables, ainsi que des howto (sorte de tutoriaux) sur le sujet, et là tu auras tes réponses, mais dans le contexte, avec les pours et les contres de chaques options  
 
allez je suis gentil je te donne les clés de recherche :  
man iptables
iptables howto
netfilter
 
à chaque fois t'a tes réponses dans les 5 premiers sujets, voir le premier sujet pour le dernier
 
bonne lecture :jap:


---------------
Jubi Photos : Flickr - 500px
n°712489
thierry_b
Posté le 28-07-2005 à 15:15:47  profilanswer
 

Re,
 
Désolé, je me suis planté et j'ai pas vu windows avant le éreseau, securité" lol.
 
je sais me ervir d'iptables et faire mes différentes règles sur les différents flux INPUT,OUTPUT, et PREROUTING + FORWARD pour le nat et enfin la MASQUARADE , c'est juste le contenu de ces fichiers que e comprends pas trop, donc c'est pas vraiment des règles iptables, mais ca sert quand même à sécuriser iptables.
 
Je connais le man d'iptables, mais j'ai jamais trouvé les infos de ces différents fichiers :-(,  c'est juste ca que je veux savir, sinon le reste je connais.
 
Je vais quand même reposter dans le bon forum.
 
Merci
A+


Message édité par thierry_b le 28-07-2005 à 15:18:03
n°712490
Jubijub
Parce que je le VD bien
Posté le 28-07-2005 à 15:26:07  profilanswer
 

je les connais les pages de man d'iptables, et je suis quasiment certain que c dedans...dans tous les cas c dans bien des tutoriaux, et je suis là encore quasiment certain que c sur le site de netfilter...
 
le premier par ex c une fonctionnalité destinée à empecher l'attaque "SYN cookie", qui consite à flooder un serveur de packets TCP avec le flag SYN sans écouter les ACK : tu satures le pool de connection en ouvrant très rapidement assez de connections pour saturer le pool...
 
pour configurer ca faut 2-3 notions de réseau et de sécu, tu devrais pas mal lire sur le domaine (parce que de la sécu improvisée, c pas de la sécu)


---------------
Jubi Photos : Flickr - 500px
n°712503
ory
Posté le 28-07-2005 à 15:42:21  profilanswer
 

c'est pas vraiment Netfilter, c'est plutôt de la conf de la pile tcp/ip du noyau

n°712515
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 28-07-2005 à 16:06:44  profilanswer
 
n°712524
THRAK
- THR4K -
Posté le 28-07-2005 à 16:18:41  profilanswer
 

ory a écrit :

c'est pas vraiment Netfilter, c'est plutôt de la conf de la pile tcp/ip du noyau


+ 1
 
Par ex, toujours pour citer l'option tcp "SYN cookie", elle peut être activée simplement via /etc/network/options (changer la valeur à yes sur la ligne correspondante) mais en revanche il faut que le support soit activé au niveau du noyau. Comme cette option viole les standards RFC beaucoup de noyaux de distrib sont fourni avec son support désactivé, ce qui nécessite des manips supplémentaires à ce niveau. Reamrque que tu as aussi la possibilité deparamétrer ces options par le biais de /etc/sysctl.conf (toujours si le support est dispo au niveau du noyau).
 
Pour vérifier quelles fonctionnalités tcp/ip sont disponibles sur ton système :
-> ls /proc/sys/net/ipv4/
 
 
NOTE:
Il est déconseillé de les activer sans savoir précisément ce que tu fais. Par ex l'option "log_martians" te permet de journaliser des adresses sources erronées, non routables ou falsifiées : pratique et pertinent si tu prends en compte ce type d'informations dans ta politique de sécurité, inutile et encombrant pour tes logs si tu ne sais pas quoi faire de ce type d'informations...


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.

Aller à :
Ajouter une réponse
 

Sujets relatifs
securiser iptables[IPTables] Forward des icmp
script iptablesDéconnexion Gaim depuis la mise en place de mon script iptables
[iptables] allow ping[VPN] Sécuriser du wifi
configuration d'iptablesAide Ouvir le port 443 (https) sur Debian [iptables inside]
Sécuriser un serveur 
Plus de sujets relatifs à : securiser iptables


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR