Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 10/10/2019 à 19:58, G2PC a écrit : Voilà, cette partie a été traitée. J'ai également remplacé : -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT par -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Voilà, cette partie a été traitée. J'ai également remplacé : -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT par -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,NEW -j ACCEPT J'espère que c'est

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/2019 à 18:36, Daniel Caillibaud a écrit : Le 24/09/19 à 17:27, Daniel Huhardeaux a écrit : Modifier le port de connexion de services connus comme ssh + identification par clé suffit pour ne pas avoir à rajouter une couche. En quoi changer le port améliorerait la sécurité ? Modifie

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/19 à 17:27, Daniel Huhardeaux a écrit : > Modifier le port de connexion de services connus comme ssh + > identification par clé suffit pour ne pas avoir à rajouter une couche. En quoi changer le port améliorerait la sécurité ? > Personnellement, en dehors des ports réputés figés,

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/2019 à 12:26, Olivier a écrit : Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux > a écrit : Oublie le port knocking. Daniel Simple curiosité: Pourquoi oublier le port knocking ? Je ne l'ai jamais utilisé mais ça m'avait l'air assez utile Modifier

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/19 à 12:26, Olivier a écrit : > Pourquoi oublier le port knocking ? Je ne sais pas ce que Daniel (Huhardeaux) voulait dire, mais je suppose qu'il déconseillait ça car ça ne fait que compliquer la configuration ssh (donc amha ça fragilise, plus c'est simple et moins il y a de risque

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux a écrit : > > Oublie le port knocking. > Daniel > > Simple curiosité: Pourquoi oublier le port knocking ? Je ne l'ai jamais utilisé mais ça m'avait l'air assez utile Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux a écrit : > Le 21/09/2019 à

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 22:48, Jean-Michel a écrit : Personnellement, je trouve qu'un DROP par défaut de tout en fin de chaîne (ou en action par défaut) va très bien et évite de surcharger inutilement les règles. Une règle DROP en fin de chaîne n'est pas commode si on veut pouvoir ajouter des

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

J'ai bien compris que le Port Knocking n'est pas réellement de la sécurité mais surtout de l'obfuscation. J'ai voulu le mettre en place tout de même. Oui pour fail2ban, il est en place mais je dois renforcer les règles. Le 21/09/2019 à 21:42, Daniel Huhardeaux a écrit : > Oublie le port

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 21/09/2019 à 20:18, G2PC a écrit : Merci de ce retour, je vais faire des recherches complémentaires, car, même si ta réponse est bien formulée, je décroche un peu. Fondamentalement, je veux bien te croire, mais, il va falloir que je vérifie, comment faire pour l'activer, et, pour vérifier son

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Merci de ce retour, je vais faire des recherches complémentaires, car, même si ta réponse est bien formulée, je décroche un peu. Fondamentalement, je veux bien te croire, mais, il va falloir que je vérifie, comment faire pour l'activer, et, pour vérifier son activation. De mon côté, j'ai rajouté

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 21/09/2019 à 12:39, G2PC a écrit : # Mon serveur ne retrouve pas les deux lignes de configuration suivantes, que je commente. A SUIVRE ! # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: Aucun fichier ou dossier de ce type # sysctl: cannot stat

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Ok, j'en prend note, même si je n'ai pas encore ce besoin. Configurer le noyau du système pour mettre en place certaines règles de protection

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 20/09/2019 à 18:57, G2PC a écrit : Quel est le rôle de : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Quel est le rôle de : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit : > # This server is a GW for Intranet > $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 18:12, G2PC a écrit : Ok super, je vais faire comme tu le proposes. Enregistrer le fichier regles-iptables-inactives doit permettre de revenir rapidement en arrière en cas de blocage, je suppose. Plus simple, faire un script comme # Flush all $IPTABLES -F $IPTABLES -X

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Ok super, je vais faire comme tu le proposes. Enregistrer le fichier regles-iptables-inactives doit permettre de revenir rapidement en arrière en cas de blocage, je suppose. Ok pour * filter que je vais commenter. Par contre, sur certains tutoriels, je lisais qu'il était conseillé d'appliquer

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 17:41, G2PC a écrit : Très bien je prend note, j'appliquerais après avoir flush : sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Non ! Les flush, puis: sudo iptables -A INPUT ACCEPT sudo iptables -A FORWARD ACCEPT sudo iptables

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Très bien je prend note, j'appliquerais après avoir flush : sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script , on est bien d'accord sur ce point ? Merci pour ses précisions. Le

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 13:49, G2PC a écrit : Je dis des bêtises, cette règle sert à flush, elle n'est pas directement ajoutée à mon script de protection, elle est dans les prémices : -F -X -t nat    -F -t nat    -X -t mangle -F -t mangle -X J'ai lu que je devrais appliquer cette règle

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Je dis des bêtises, cette règle sert à flush, elle n'est pas directement ajoutée à mon script de protection, elle est dans les prémices : -F -X -t nat    -F -t nat    -X -t mangle -F -t mangle -X J'ai lu que je devrais appliquer cette règle avant de flush, ton avis ? sudo

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Hum, ok, à la fin du script, j'avais : # Fermer tous les ports pour les connexions entrantes. # REJECT les paquets est plus propre mais DROP est plus sécurisé ! # Avec DROP, si un paquet arrive et n'est pas accepté, on l'efface. Le client attendra de son côté une réponse en vain, jusqu'au

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 17/09/2019 à 19:58, G2PC a écrit : [...] Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le multicast et / ou IGMP. Si tu DROP par défaut [...] La règle que je suis entrain d'écrire, mais, pas encore appliquée, est la suivante :

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Ok pour IP6tables, j'ai du survoler ça quelques fois maintenant, sans m'en préoccuper pour le moment. Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le multicast et / ou IGMP. Par contre, si je devais l'accepter, dans quel cas ouvrir le multicast, ou, IGMP, d'après Pascal, ce n'est

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 17/09/2019 à 12:12, G2PC a écrit : Bonjour, Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6 en aurait besoin, je ne suis pas plus avancé. iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Bonjour, Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6 en aurait besoin, je ne suis pas plus avancé. Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais aimé avoir plus d'informations sur les règles présentées, pour savoir justement si il y a du sens à les mettre en

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 16/09/2019 à 12:57, G2PC a écrit : Bonjour, Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me semble de ce fait inutile de l'autoriser dans ma configuration Iptables ? Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le multicast, tu n'as pas

Faut t'il bloquer le Multicast - IGMP avec Iptables

Bonjour, Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me semble de ce fait inutile de l'autoriser dans ma configuration Iptables ? Par contre, je trouve deux types de règles via mes recherches, et, je ne suis pas très sur de la bonne façon de l'interdire. Je