securiser iptables - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 28-07-2005 à 15:07:40
oula...
Alors :
#1 tu n'es pas sur la bonne catégorie : IPTables c le programme qui permet d'administrer le filtrage des connections réseau sous linux...la bonne catégorie est donc OS Alternatifs : http://forum.hardware.fr/hardwaref [...] ujet-1.htm
ensuite de ca si tu ne comprends pas ce que font ces règles peut etre tu ne devrais pas utiliser iptables...
enfin si tu tiens vraiment à l'apprendre, alors tu devrais lire le manuel d'iptables, ainsi que des howto (sorte de tutoriaux) sur le sujet, et là tu auras tes réponses, mais dans le contexte, avec les pours et les contres de chaques options
allez je suis gentil je te donne les clés de recherche :
man iptables
iptables howto
netfilter
à chaque fois t'a tes réponses dans les 5 premiers sujets, voir le premier sujet pour le dernier
bonne lecture
Marsh Posté le 28-07-2005 à 15:15:47
Re,
Désolé, je me suis planté et j'ai pas vu windows avant le éreseau, securité" lol.
je sais me ervir d'iptables et faire mes différentes règles sur les différents flux INPUT,OUTPUT, et PREROUTING + FORWARD pour le nat et enfin la MASQUARADE , c'est juste le contenu de ces fichiers que e comprends pas trop, donc c'est pas vraiment des règles iptables, mais ca sert quand même à sécuriser iptables.
Je connais le man d'iptables, mais j'ai jamais trouvé les infos de ces différents fichiers :-(, c'est juste ca que je veux savir, sinon le reste je connais.
Je vais quand même reposter dans le bon forum.
Merci
A+
Marsh Posté le 28-07-2005 à 15:26:07
je les connais les pages de man d'iptables, et je suis quasiment certain que c dedans...dans tous les cas c dans bien des tutoriaux, et je suis là encore quasiment certain que c sur le site de netfilter...
le premier par ex c une fonctionnalité destinée à empecher l'attaque "SYN cookie", qui consite à flooder un serveur de packets TCP avec le flag SYN sans écouter les ACK : tu satures le pool de connection en ouvrant très rapidement assez de connections pour saturer le pool...
pour configurer ca faut 2-3 notions de réseau et de sécu, tu devrais pas mal lire sur le domaine (parce que de la sécu improvisée, c pas de la sécu)
Marsh Posté le 28-07-2005 à 15:42:21
c'est pas vraiment Netfilter, c'est plutôt de la conf de la pile tcp/ip du noyau
Marsh Posté le 28-07-2005 à 16:06:44
Si y'en a que ça intéresse http://ipsysctl-tutorial.frozentux [...] orial.html
Marsh Posté le 28-07-2005 à 16:18:41
ory a écrit : c'est pas vraiment Netfilter, c'est plutôt de la conf de la pile tcp/ip du noyau |
+ 1
Par ex, toujours pour citer l'option tcp "SYN cookie", elle peut être activée simplement via /etc/network/options (changer la valeur à yes sur la ligne correspondante) mais en revanche il faut que le support soit activé au niveau du noyau. Comme cette option viole les standards RFC beaucoup de noyaux de distrib sont fourni avec son support désactivé, ce qui nécessite des manips supplémentaires à ce niveau. Reamrque que tu as aussi la possibilité deparamétrer ces options par le biais de /etc/sysctl.conf (toujours si le support est dispo au niveau du noyau).
Pour vérifier quelles fonctionnalités tcp/ip sont disponibles sur ton système :
-> ls /proc/sys/net/ipv4/
NOTE:
Il est déconseillé de les activer sans savoir précisément ce que tu fais. Par ex l'option "log_martians" te permet de journaliser des adresses sources erronées, non routables ou falsifiées : pratique et pertinent si tu prends en compte ce type d'informations dans ta politique de sécurité, inutile et encombrant pour tes logs si tu ne sais pas quoi faire de ce type d'informations...
Marsh Posté le 28-07-2005 à 14:29:45
Bonjour,
sur le net j'ai trouvé ces règles là pour sécuriser iptables:
# Autres protections réseau
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 >/proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_always_defrag
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
J'aimerais bien que quelqu'un me les explique si bien sure ca ne le dérange pas, et me dise si une de ces règles peut être génante ou si elles sont vraiment toutes souhaitables?
Merci bcp.
A+
Message édité par thierry_b le 28-07-2005 à 14:31:11