parefeu pour linux - LinuxFr.org

bonjour

voilà une idée de parefeu pour init.d
je cherche quelques idées pour l'améliorer
merci

#!/bin/sh

tcp="20,21,22,25,53,80,110,143,443,873,953,993,995,3306,7634" #15 ports max
udp="53" #15 ports max

case $1 in
start | restart)
echo "firewall start restart"

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -F
ip6tables -X

iptables -A INPUT -p tcp --match multiport --dport $tcp -j ACCEPT
ip6tables -A INPUT -p tcp --match multiport --dport $tcp -j ACCEPT

iptables -A INPUT -p udp --match multiport --dport $udp -j ACCEPT
ip6tables -A INPUT -p udp --match multiport --dport $udp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -i lo -j ACCEPT
ip6tables -I INPUT -i lo -j ACCEPT

iptables -P OUTPUT ACCEPT
ip6tables -P OUTPUT ACCEPT

iptables -P FORWARD DROP
ip6tables -P FORWARD DROP

iptables -P INPUT DROP
ip6tables -P INPUT DROP
exit 0
;;
stop)
echo "firewall stop"
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -F
ip6tables -X
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart}"
exit 1
;;
esac

# state

Posté par nono14 (site web personnel) le 26 mai 2012 à 08:57. Évalué à 0.

-m state c'est beaucoup plus efficace

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

[^] # Re: state

Posté par robertix le 26 mai 2012 à 14:27. Évalué à -10.

c'est quoi la différence entre: ?

iptables -A INPUT -p tcp --match multiport --dport $tcp -j ACCEPT
iptables -A INPUT -p tcp --match multiport --dports $tcp -m state --state NEW -j ACCEPT

[^] # Re: state

Posté par nono14 (site web personnel) le 29 mai 2012 à 09:43. Évalué à 2. Dernière modification le 29 mai 2012 à 09:47.

La différence c'est l'état des connexions.C'est une différence majeure depuis ipchains.Cela améloire la sécurité. (statefull vs stateless )
http://www.netfilter.org/

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

# state

Posté par nono14 (site web personnel) le 26 mai 2012 à 08:57. Évalué à 0.

-m state c'est beaucoup plus efficace

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: state
  
  Posté par robertix le 26 mai 2012 à 14:27. Évalué à -10.
  
  c'est quoi la différence entre: ?
  
  iptables -A INPUT -p tcp --match multiport --dport $tcp -j ACCEPT
  iptables -A INPUT -p tcp --match multiport --dports $tcp -m state --state NEW -j ACCEPT
  - [^] # Re: state
    
    Posté par nono14 (site web personnel) le 29 mai 2012 à 09:43. Évalué à 2. Dernière modification le 29 mai 2012 à 09:47.
    
    La différence c'est l'état des connexions.C'est une différence majeure depuis ipchains.Cela améloire la sécurité. (statefull vs stateless )
    http://www.netfilter.org/
    
    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# iptables-save ?

Posté par mrr le 26 mai 2012 à 10:05. Évalué à 0.
Salut,

AMHA, tu devrais utiliser iptables-save et iptables-restore:
- iptables-save(8)
- iptables-restore(8)
Envoyé depuis ma Debian avec Firefox

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# state

[^] # Re: state

[^] # Re: state

# iptables-save ?