[iptables] règles de forward

règles de forward [iptables] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-02-2005 à 23:27:23    

bonsoir à tous,
J'ai une petite question concernant ma configuration d'iptables sur ma passerelle internet (mandrake 10.0)
En fait j'ai fait des règles détaillées pour les INPUT et OUTPUT, mais par simplicité (qui a dit flemme?? :lol: ) en fait au lieu de dropper tous les forward puis d'accepter au cas par cas, je n'ai tout simplement pas mis de iptables -P FORWARD DROP. Sachant que mes PC de mon réseau sont principalement des pc sous windows (avec firewalls qui filtrent les paquets vers l'exterieur tout de même), donc avec plein de services inutiles qui tournent, est ce que ma sécurité est un gruyère, est ce que ma non gestion des forward est l'anneau faible qui casse toute la chaine de ma sécurité (j'adore cette expression :D )
merci pour vos réponses  

Reply

Marsh Posté le 01-02-2005 à 23:27:23   

Reply

Marsh Posté le 01-02-2005 à 23:44:06    

Rien compris, problème pas décrit, et pseudo ridicule.


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 01-02-2005 à 23:59:30    

Ah, voilà enfin un post clair et précis d'un problème ciblé !
(le deuxième, pas le premier)

Reply

Marsh Posté le 02-02-2005 à 00:06:36    

en gros pour mon problème: est ce grave au niveau sécurité de laisser passer tous les paquet en FORWARD sur ma passerelle dans le sens LAN>internet?
sinon je suis sans doute fatigué mais je pensais pas avoir été si confu que ça, dsl
pour mon pseudo, je ne sais que rajouter, je vais encore etre confu

Reply

Marsh Posté le 02-02-2005 à 00:11:01    

force_jaune a écrit :

en gros pour mon problème: est ce grave au niveau sécurité de laisser passer tous les paquet en FORWARD sur ma passerelle dans le sens LAN>internet?


Non c'est pas grave. Sauf si tu héberges le serveur de frappe nucléaire. Là c'est grave.

Reply

Marsh Posté le 02-02-2005 à 00:17:25    

ok, dc en gros pour une utilisation personnelle ça ne vaut pas le coup que je me tape une config précise des règles de forward.  
Pourtant, est ce que des regles de forward ne pourraient pas permettre d'éviter que des troyans/spywares ne balancent des infos vers internet depuis les pc de mon lan?
merci pour ta réponse AirbaT

Reply

Marsh Posté le 02-02-2005 à 00:19:10    

farib a écrit :

Rien compris, problème pas décrit, et pseudo ridicule.


 
Y'a vraiment trop des merdes qui se prennent pour des superieurs sur ce site. :pfff:  
Ca t'arracherai la gueule d'être un peu plus sympathique.
 
 
 
 

Reply

Marsh Posté le 02-02-2005 à 00:21:27    

Soit tu te fais suer à ouvrir un par un les port que tu utilises (protocoles divers et variés), en cherchant à chaque fois pourquoi tel bordel passe pas, pourquoi tu peux pas jouer à ca et pourquoi ci et pourquoi ca.
 
Soit tu ouvres tout et tu regardes les logs de temps en temps, ptet meme un coup de SNORT, il doit etre capable de repérer les trojans win.
 

Reply

Marsh Posté le 02-02-2005 à 00:27:34    

je crois que pour le moment, je vais opter pour la seconde solution, et puis si un jour j'ai un peu de temps, je me pencherai sur une configuration plus fine

Reply

Marsh Posté le 02-02-2005 à 00:29:34    

Si tu veux pas te faire chier a regarder quels ports utilisent chaque appli le plus simple c'est de tout autoriser en sortie et d'autoriser en entrée uniquement les paquets qui sont en rapport avec les connections que tu as effectué.
 
iptables -A FORWARD -s 192.168.X.X -i ethX -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -d 192.168.X.X -i ppp0 -o ethX -m state --state ESTABLISHED,RELATED -j ACCEPT
 
remplace les X pour les adapter a ta conf
 
Ce genre de config te protège des attaques exterieures mais si une saloperie arrive a rentrer dans ton reseau elle pourra foutre la merde (communiquer avec l'exterieur).


Message édité par sam fisher le 02-02-2005 à 00:32:24
Reply

Marsh Posté le 02-02-2005 à 00:29:34   

Reply

Marsh Posté le 02-02-2005 à 09:15:12    

ok, c'est vrai que ça serait déjà un bon début, merci ;)

Reply

Marsh Posté le 02-02-2005 à 09:16:13    

de toute façon, tous mes postes ont un firewall qui surveille le traffic sortant de chaque machine, donc à priori, surtout pour une utilisation personnelle, je pense que ça va déjà être bien

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed