+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Questions (https://dev.n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Security (https://dev.n-pn.fr/forum/forumdisplay.php?fid=24)
+--- Sujet : config iptables (/showthread.php?tid=2749)
config iptables - InstinctHack - 24-02-2013
salut,
j'ai lu le tuto ici http://doc.ubuntu-fr.org/iptables
et j'ai essayer de comprendre ces règles mais en vain, quelqu'un pourrait m'en dire l'utilité ?
merci
Code :
## On drop les scans XMAS et NULL.
/sbin/iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
## Dropper silencieusement tous les paquets broadcastés.
/sbin/iptables -A INPUT -m pkttype --pkt-type broadcast -j DROPRE: config iptables - Sh4dows - 24-02-2013
Je ne m'en sert pas trop d'iptables, mais le man semble clair pourtant !
- A : "Ajoute une ou plusieurs règles à la fin de la chaîne sélectionnée. Lorsque les noms source et/ou destination désignent plus d'une adresse, une règle sera ajoutée pour chaque combinaison d'adresses possible."
INPUT : Nom de l'interface recevant les paquets
Les flags tcp (FIN,URG,PSH FIN,URG,PSH) donne des "options supplémentaire"
- FIN[AL] : Indique une demande de fin de la connexion
- URG[ENT] : Paquet prioritaire
- P[U]SH : Transmettre immédiatement les données
etc..
Au pire voici un MAN iptables en Français (bouuuh !!) suffit de le lire http://www.delafond.org/traducmanfr/man/man8/iptables.8.html
RE: config iptables - gruik - 24-02-2013
(24-02-2013, 17h31)khaled a écrit :Code :## On drop les scans XMAS et NULL.
c'est comme le Port Salut, c'est écrit dessus
les commandes font ce que disent les commentaires, en l'occurence pour chaque paquet qui match on le drop
quand dans un paquet TCP tous les flags sont positionnés à 1 on appelle ça un arbre de noel (XMAS), c'est ce que fait la ligne avec --tcp-flags ALL ALL par exemple, la ligne d'en dessous match les paquets où il n'y a aucun flag de positionné, le premier "ALL" demande à iptables en gros de vérifier "tous les flags" et le "NONE" dit que tous les flags à vérifier doivent être à 0
effectivement comme dit Sh4dows le mieux c'est encore de prendre le man iptables (rechercher "tcp-flags" par exemple)
RE: config iptables - b0fh - 25-02-2013
Note que, a moins d'avoir des besoins de performance très exigeants, tu as bien meilleur temps d'utiliser un filtrage stateful. un simple:
iptables -A INPUT -p tcp -m state --state invalid -j DROP
iptables -A INPUT -p tcp -m state --state established,related -j ACCEPT
te protège sans risque d'erreur contre tous les types de scans bizarres, et te permet également d'écrire le reste de tes règles pour tcp (en sortie comme en entrée) en raisonnant sur les connexions, pas sur les paquets (donc pas besoin de s'inquiéter du sens de retour)