Vous n'êtes pas identifié(e).
Pages : 1
----------------------------------------
Après j'ai du mal avec ces 3 lignes de code :
Egalement, a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu'ils sont autorisés avec cette ligne :
Autrement, je pensais autoriser les transferts de paquets entre les périphériques de mon réseau local, la c'est sans risque!
Enfin, sans intrusion bien sur (je n'ai pas trouvé d'autres solutions pour faire en sorte de faire marcher le service d'impression cups).
Je pensais à la ligne suivante :
Si vous avez un support d'apprentissage pour iptables, je suis preneur.
Merci par avance.
Hors ligne
Après j'ai du mal avec ces 3 lignes de code
Ces trois lignes définissent les politiques par défaut des trois chaînes (de la table filter).
L'ouverture du port 631 n'avait pas suffi pour :1-serveur cups : détecter/associer via l'interface web l'imprimante sur le réseau local 192.168.1.X
Normal, le protocole de communication entre le serveur et l'imprimante n'est pas CUPS mais probablement IPP.
a t-on besoin de respecifier les états ESTABLISHED,RELATED des autres lignes (tel que XMPP) puisqu'ils sont autorisés avec cette ligne
Ça dépend. Ta règle générale ne s'applique qu'aux paquets reçus par l'interface eth0, ce qui n'est pas le cas des règles spécifiques.
Je pensais à la ligne suivante :
Pas suffisant si la détection repose sur la réception de paquets en broadcast limité à l'adresse 255.255.255.255 (à verifier).
Et je ne vois pas l'intérêt de limiter l'adresse destination.
Il vaut mieux montrer que raconter.
Hors ligne
Il y a un saut de ligne en trop dans la règle pour SSH.
Oui, c'était lors de mon copier/coller par le soft claws-mail.
Ces trois lignes définissent les politiques par défaut des trois chaînes (de la table filter).
D'accord mais que signifie la valeur présente entre crochet ? [0:0] et la valeur [13:1456] pour le cas que j'ai cité au dessus ?
Normal, le protocole de communication entre le serveur et l'imprimante n'est pas CUPS mais probablement IPP.
J'ai l'impression oui mais il n'y a pas que ipp, il y a : ipp, ipps, http, https, ... => donc quelle règle ajouter à iptables pour que mes paquets circulent correctement selon mon besoin ?
Pas suffisant si la détection repose sur la réception de paquets en broadcast limité à l'adresse 255.255.255.255 (à verifier).
Et je ne vois pas l'intérêt de limiter l'adresse destination.
Oui, c'est vrai !!! Alors mes règles ne permettent pas ces paquets de broadcast, je suis déjà bloqué à ce niveau.
Hors ligne
que signifie la valeur présente entre crochet ? [0:0] et la valeur [13:1456]
nombre de paquets:nombre d'octets
Ça fait partie des informations fournies par iptables-save, mais peut être omis dans les données fournies à iptables-restore.
J'ai l'impression oui mais il n'y a pas que ipp, il y a : ipp, ipps, http, https, ... => donc quelle règle ajouter à iptables pour que mes paquets circulent correctement selon mon besoin ?
Il faut identifier les flux à autoriser. Capture de trafic, règles LOG... tous les moyens sont bons.
Il vaut mieux montrer que raconter.
Hors ligne
Dernière modification par joffrey575 (15-01-2018 15:57:39)
Hors ligne
As-tu un moyen d'analyse de paquets par log ? avec un filtre pour avoir rapidement les infos lisible par le commun des gens si tu as.
Pour avoir des logs, il faut utiliser la cible LOG dans des règles iptables. Les paquets sont loggés dans les messages du noyau.
Le seul filtre que je connais et utilise, c'est le cerveau.
Par ailleurs il parait qu'il faut enlever les règles RELATED car ça pourrait être problématique.
En toute rigueur, il y a quelques types ICMP (redirect, source-quench) qu'il ne faudrait pas accepter même dans l'état RELATED. Pour le reste, on peut créer une règle un peu plus spécifique pour chaque flux RELATED qu'on s'attend à voir passer. Mais bannir l'état RELATED est une ânerie en soi, au même titre que bannir l'état NEW. De plus, avec un noyau récent qui nécessite de marquer les flux maîtres avec la cible CT et le helper de protocole, seuls les flux liés correspondants auront l'état RELATED.
Il vaut mieux montrer que raconter.
Hors ligne
Pages : 1