Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 16:49] Hypathie [La table NAT] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 17:02] Hypathie [Un pare-feu avancé pour le routeur-debian] |
||
|---|---|---|---|
| Ligne 331: | Ligne 331: | ||
| - Interdire par défaut (DROP) la chaîne FORWARD | - Interdire par défaut (DROP) la chaîne FORWARD | ||
| - Filter ce qui passe par FORWARD | - Filter ce qui passe par FORWARD | ||
| - | - Autoriser les connexions (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. | + | - Autoriser (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. |
| - Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | - Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | ||
| - Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | - Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | ||
| - | - Et bien sûr, de pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE | + | - Et bien sûr, ne pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE |
| (//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) | (//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) | ||
| Ligne 389: | Ligne 389: | ||
| * Pour voir ce qu'on a fait : | * Pour voir ce qu'on a fait : | ||
| - | <code root>iptables -t nat -L FORWARD -t filter</code> | + | <code root>iptables -L -t nat && iptables -L</code> |
| ====Dépendance du NAT et des chaînes FILTER sur l'interface interne (eth1)==== | ====Dépendance du NAT et des chaînes FILTER sur l'interface interne (eth1)==== | ||
| Ligne 503: | Ligne 503: | ||
| Ils proviennent de la couche 2 (Liaison de données) du modèle OSI et selon le standard, il ne devrait y avoir de paquets qui utilisent la fragmentation.\\ | Ils proviennent de la couche 2 (Liaison de données) du modèle OSI et selon le standard, il ne devrait y avoir de paquets qui utilisent la fragmentation.\\ | ||
| Lorsque cette situation se présente, nous sommes en présence d'un déni de service (DoS). | Lorsque cette situation se présente, nous sommes en présence d'un déni de service (DoS). | ||
| - | Nous allons donc essayer de réduire les risques en repérant les paquets fragmentés qui n'ont pas lieu d'être, pour les rejeter. | + | Nous allons donc essayer de réduire les risques en rejetant les paquets fragmentés qui n'ont pas lieu d'être. |
| * Créons une chaîne utilisateur : | * Créons une chaîne utilisateur : | ||
