bonsoir à tous,
J'ai une petite question concernant ma configuration d'iptables sur ma passerelle internet (mandrake 10.0)
En fait j'ai fait des règles détaillées pour les INPUT et OUTPUT, mais par simplicité (qui a dit flemme?? ) en fait au lieu de dropper tous les forward puis d'accepter au cas par cas, je n'ai tout simplement pas mis de iptables -P FORWARD DROP. Sachant que mes PC de mon réseau sont principalement des pc sous windows (avec firewalls qui filtrent les paquets vers l'exterieur tout de même), donc avec plein de services inutiles qui tournent, est ce que ma sécurité est un gruyère, est ce que ma non gestion des forward est l'anneau faible qui casse toute la chaine de ma sécurité (j'adore cette expression )
merci pour vos réponses  

Rien compris, problème pas décrit, et pseudo ridicule.

Ah, voilà enfin un post clair et précis d'un problème ciblé !
(le deuxième, pas le premier)

en gros pour mon problème: est ce grave au niveau sécurité de laisser passer tous les paquet en FORWARD sur ma passerelle dans le sens LAN>internet?
sinon je suis sans doute fatigué mais je pensais pas avoir été si confu que ça, dsl
pour mon pseudo, je ne sais que rajouter, je vais encore etre confu

Non c'est pas grave. Sauf si tu héberges le serveur de frappe nucléaire. Là c'est grave.

ok, dc en gros pour une utilisation personnelle ça ne vaut pas le coup que je me tape une config précise des règles de forward.  
Pourtant, est ce que des regles de forward ne pourraient pas permettre d'éviter que des troyans/spywares ne balancent des infos vers internet depuis les pc de mon lan?
merci pour ta réponse AirbaT

 
Y'a vraiment trop des merdes qui se prennent pour des superieurs sur ce site.  
Ca t'arracherai la gueule d'être un peu plus sympathique.
 
 
 
 

Soit tu te fais suer à ouvrir un par un les port que tu utilises (protocoles divers et variés), en cherchant à chaque fois pourquoi tel bordel passe pas, pourquoi tu peux pas jouer à ca et pourquoi ci et pourquoi ca.
 
Soit tu ouvres tout et tu regardes les logs de temps en temps, ptet meme un coup de SNORT, il doit etre capable de repérer les trojans win.
 

je crois que pour le moment, je vais opter pour la seconde solution, et puis si un jour j'ai un peu de temps, je me pencherai sur une configuration plus fine

Si tu veux pas te faire chier a regarder quels ports utilisent chaque appli le plus simple c'est de tout autoriser en sortie et d'autoriser en entrée uniquement les paquets qui sont en rapport avec les connections que tu as effectué.
 
iptables -A FORWARD -s 192.168.X.X -i ethX -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -d 192.168.X.X -i ppp0 -o ethX -m state --state ESTABLISHED,RELATED -j ACCEPT
 
remplace les X pour les adapter a ta conf
 
Ce genre de config te protège des attaques exterieures mais si une saloperie arrive a rentrer dans ton reseau elle pourra foutre la merde (communiquer avec l'exterieur).

ok, c'est vrai que ça serait déjà un bon début, merci

de toute façon, tous mes postes ont un firewall qui surveille le traffic sortant de chaque machine, donc à priori, surtout pour une utilisation personnelle, je pense que ça va déjà être bien