Pages : 1
#1 Le 19/08/2007, à 13:15
- infradmin
Configuration de IPTABLES
Bonjour à tous,
Etant dépourvu d'interface graphique, je souhaite configurer pour la premiére fois IPTABLES sur mon Ubuntu Feisty server.
J'ai appris que le simple fait d'accepter les paquet ICMP (ping) pourrai mettre en péril mon serveur par le biais d'une attque DOS ou DDOS (Envoi de paquet ICMP en mode flood à partir d'une ou plusieurs machines).
Cependant je vois sur les nombreux scripts d'IPTABLES sur des forums que personne ne pense à ca... Alors paranoia, inconpréhension, ignorance?? Merci de m'éclairer!
Nicolas
Dernière modification par infradmin (Le 19/08/2007, à 13:16)
Mon weblog perso http://nbonnici.info
A cause d'Ubuntu je tape des sudo partout mais je me soigne...
Hors ligne
#2 Le 19/08/2007, à 17:36
- reeth
Re : Configuration de IPTABLES
Pour ta configuration d'un firewall, si tu veux faire simple et complet, il y a firehol qui est vraiment pas mal. Après ICMP, tu peux le désactiver, mais si tu veux faire ping sur ton serveur c'est mort. C'est à toi de voir si cela en vaut la peine.
Hors ligne
#3 Le 19/08/2007, à 19:25
- infradmin
Re : Configuration de IPTABLES
Salut!
Merci beaucoup pour "Firehol", bien pratique. A part pour du monitoring en quoi le fait de désactiver les paquets ICMP et donc le ping, peut etre génant?
Nico
Mon weblog perso http://nbonnici.info
A cause d'Ubuntu je tape des sudo partout mais je me soigne...
Hors ligne
#4 Le 19/08/2007, à 20:35
- reeth
Re : Configuration de IPTABLES
Voilà quelques liens intéressants :
La doc Gentoo sur iptables, très bien faite
Un avis sur la désactivation de icmp
Je pense que rien en t'empêche à priori de désactiver icmp, donc tu peux y aller
edit : un autre lien qui peu t'aider (cherche icmp, c'est au milieu de la page
Dernière modification par reeth (Le 19/08/2007, à 20:38)
Hors ligne
#5 Le 19/08/2007, à 20:57
- infradmin
Re : Configuration de IPTABLES
Bonsoir,
Merci beaucoup pour toutes cette doc, je regarderai ca demain à tête reposée.
nico
Mon weblog perso http://nbonnici.info
A cause d'Ubuntu je tape des sudo partout mais je me soigne...
Hors ligne
#6 Le 20/08/2007, à 12:15
- reeth
Re : Configuration de IPTABLES
Si tu trouve de la doc intéressante, n'hésites pas à m'en faire part, je suis aussi intéressé (surtout sur la configuration avancée de firehol, et un peu sur iptables). Si tu te fais un avis sur ta question (icmp), tu peux aussi m'en faire part
Hors ligne
#7 Le 20/08/2007, à 16:01
- infradmin
Re : Configuration de IPTABLES
Salut,
D'aprés ce que j'ai lu la réponse est non, il ne faut pas totalement bloquer les paquet ICMP (le premier protocole de l'adresse IP, ce n'est donc pas un port par ou les requétes passent).
La raison est simple, si tu utilise Apache sur ton serveur (web) tout les messages qui te permettent d'identifier les erreur HTTP (404 page non trouvé par exemple) ne fonctionneront plus ainsi que pas mal d'autres informations qui transitent par ces paquets.
La solution serai de le filtrer (filtered), mais je ne sais pas vraiment encore comment faire ca de facon propre et sans bavure d'autant plus que je reste prudent car le serveur dont je configure IPTABLES est dans un data-center donc ca m'embéterai bien de "m'enfermer dehors"! (dixit La Haine^^).
Je creuse un peu plus dés que j'ai le temps.
nico
Dernière modification par infradmin (Le 20/08/2007, à 16:02)
Mon weblog perso http://nbonnici.info
A cause d'Ubuntu je tape des sudo partout mais je me soigne...
Hors ligne
#8 Le 20/08/2007, à 16:13
- reeth
Re : Configuration de IPTABLES
Ok, j'ai le même avis que toi sur icmp. Dans l'un des liens que je t'ai donné, ils donnent une méthode pour filtrer je crois. On se tiens au courant de toute façon
Hors ligne
Pages : 1