Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 22:17] Hypathie [Détail pour les protocole TCP et UDP] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 23:29] captnfab [Un pare-feu avancé pour le routeur-debian] |
||
---|---|---|---|
Ligne 559: | Ligne 559: | ||
* Le type ICMP 6 : Alternate Host Address | * Le type ICMP 6 : Alternate Host Address | ||
Pour modifier l'adresse hôte. | Pour modifier l'adresse hôte. | ||
- | * Type IMCP 7 : ceux non-assignés | + | * Type ICMP 7 : ceux non-assignés |
* Type ICMP 9 "Router Advertisement" : voir RFC 1256 | * Type ICMP 9 "Router Advertisement" : voir RFC 1256 | ||
- | * Type IMCP 10 "Routeur ICMP sollicitation" : voir aussi RFC 1256 | + | * Type ICMP 10 "Routeur ICMP sollicitation" : voir aussi RFC 1256 |
- | * Type IMCP 11 "ICMP Time Exceeded" : pour le temps dépassé | + | * Type ICMP 11 "ICMP Time Exceeded" : pour le temps dépassé |
<note> | <note> | ||
**codes**\\ | **codes**\\ | ||
Ligne 600: | Ligne 600: | ||
Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | ||
- | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant imcp pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)): | + | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant ICMP pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)): |
(Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | (Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | ||
Ligne 646: | Ligne 646: | ||
====DROP sur INPUT et OUTPUT (chaîne filter) ==== | ====DROP sur INPUT et OUTPUT (chaîne filter) ==== | ||
Cette fois, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\ | Cette fois, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\ | ||
- | D'abord avec IMCP qu'on laisse maintenant entrer et sortir par INPUT et OUTPUT, comme pour ce qu'on n'a laissé passer par FORWARD.\\ Attention l'ordre des règles comptes ici. | + | D'abord avec ICMP qu'on laisse maintenant entrer et sortir par INPUT et OUTPUT, comme pour ce qu'on n'a laissé passer par FORWARD.\\ Attention l'ordre des règles comptes ici. |
On conserve ce qu'on a fait précédemment et on ajoute aux commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour un client du LAN]] les règles qui tiennent compte qu'il y a cette fois deux interfaces réseau. | On conserve ce qu'on a fait précédemment et on ajoute aux commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour un client du LAN]] les règles qui tiennent compte qu'il y a cette fois deux interfaces réseau. | ||
Ligne 725: | Ligne 725: | ||
- | # Les règles imcp pour OUTPUT et INPUT | + | # Les règles ICMP pour OUTPUT et INPUT |
#(en y intégrant celles de testées pour FORWARD) | #(en y intégrant celles de testées pour FORWARD) | ||