giggzounet a écrit : > >> Y a des règles pour définir les limites avec -m limit --limit ? ou alors >> c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de la machine, du réseau... > Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux > variables modifiables via sysctl: > > Pour l'instant les variables redirects sont à 1 : > net.ipv4.conf.all.send_redirects > net.ipv4.conf.default.send_redirects > net.ipv4.conf.all.accept_redirects > net.ipv4.conf.all.secure_redirects > net.ipv4.conf.default.accept_redirects > net.ipv4.conf.default.secure_redirects > > est ce intéressant de les mettre à 0 ? Déjà, seule une machine fonctionnant en routeur (ip_forward=1, conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est juste sous-optimal. De toute façon il est rare qu'un réseau contienne plusieurs passerelles, donc la probabilité d'en recevoir est réduite. Comme les ICMP redirect peuvent être exploités par une machine du réseau local pour détourner du trafic, il peut être intéressant d'un point de vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de détourner du trafic dans un réseau local, notamment avec les attaques basées sur ARP qu'iptables ignore complètement. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c90d8ab.7050...@plouf.fr.eu.org