giggz a écrit : > Le 11/09/2010 00:21, Serge Cavailles a écrit : >> >> La politique par _defaut_ s'applique en fin de chaîne aux paquets restants >> (comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par défaut est appliquée aux paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible dite "terminale" : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE... > ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant > :INPUT DROP au début je n'ai plus besoin d'avoir: > -A INPUT -j DROP juste avant le commit, non ? En effet. > Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou > après "anti-spoofing" ? Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de graves troubles de la personnalité). Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après. En effet le suivi de connexion ne tient pas compte de l'interface d'arrivée des paquets (après tout, le routage sur internet est asymétrique par nature et une machine multihomée peut recevoir un paquet légitime par n'importe quelle interface). On pourrait imaginer une situation où la machine communique avec une machine A sur l'interface interne, et une machine B extérieure profite de la connexion établie pour injecter des paquets par l'interface externe en se faisant passer pour A. Mais cette situation a autant sinon plus de chances de se produire si la machine usurpée et la machine usurpatrice sont du même côté, et là le filtrage anti-spoofing n'y peut rien. > ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai > pour l'instant: [...] > -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP [...] > -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP Doublon. > Donc les points qui restent obscurent pour le moment ce sont: > - peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ? Plutôt -i eth0. > ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ? Encore moins, eth0:2 n'est pas une interface. > - la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris > la réponse de Serge, je suppose que je peux la supprimer. En effet, puisque la politique par défaut de la chaîne est DROP. > - si je veux permettre à mes noeuds d'avoir internet, il suffit que je > fasse : > iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s > 192.168.0.0/16 > sysctl -w net.ipv4.ip_forward=1 > non ? Il faudra aussi des règles dans FORWARD pour accepter les connexions routées arrivant par eth0 puisque la politique par défaut est DROP. iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles peuvent être factorisées dans une chaîne utilisateur appelée depuis INPUT et FORWARD. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8b43c6.7050...@plouf.fr.eu.org