[quote=“haleth”]Ok
J’ai plusieurs remarques :
- Concernant tes motivations, je ne suis pas d’accord (ormis pour l’aspect didactique), mais qu’importe
- Concernant l’IPv6, tu devrait t’en servir …
- Concernant l’ICMP echo request: y’a d’autres solutions que l’ICMP pour savoir si quelqu’un est en ligne. tcpdump et arp par exemple;
- Concernant les syncookies, si tu veux les désactiver (=les drop), il faut écrire 0 dans le fichier, pas 1
- Concernant les fragments, je me demande si c’est le NIC qui fait la fragmentation. Dans ce cas, ton truc est bon, sinon, c’est néfaste
- Concernant la limitation de pps, si tu veux pouvoir saturer ta connexion avec un wget, tu dois mettre des valeurs hautes. Et si tu mets des valeurs hautes, tu peux supprimer les lignes
Voila ma contribution à ton projet !
À mon humble avis, et si tu veux faire des choses géniales avec iptables, renseigne toi sur les sujets suivants :
- générer des sflow concernant ton trafic, ce qui te permet de faire des graphes par destination, par type, par tout, sans conserver les données
- faire un cluster de machine
- modifier le contenu des paquets “on the fly” en fonction de certains motifs
- …[/quote]
Mon but est réellement de créer un “bon” parefeu via iptables en comprenant ce que je fais, sinon j’ai testé fwbuilder, firestarter et d’autres fonctionnels ou non, j’aurais pu me débrouiller avec ça, voire ufw+gufw qui se présente comme la solution “miracle” pour les newbies (comme moi mais ça, c’était avant:) ) mais qui ne veulent pas se prendre la tête et veulent que “ça marche” simplement. Or, la mise en place d’un parefeu n’est pas simple selon moi. Je suis complètement d’accord sur le fait que j’ai tendance à avoir la main lourde sur le bridage via mon script mais quand j’entends que des grands sites (orange, facebook, etc…), qui eux ont les moyens de se payer une bonne sécurisation avec un bonhomme ou une équipe complète aux commandes, se font hacker et voler des gigas de données personnelles et se font faire même chanter (photos “intimes” des stars tout récemment), ça porte à réfléchir à quel point nos PCs sont des passoires. Peut-être pas les vôtres, je ne sais pas comment vous sécurisez et ça ne me regarde pas je pense, mais le mien j’en suis convaincu. Je n’ai rien à cacher ni à me reprocher, je veux simplement me protéger et protéger mes proches qui surfent et qui n’ont pas mon niveau de connaissances en informatique, pourtant pas très haut à mon humble avis.
Pour IPv6, pourquoi devrais-je m’en servir? Peut-on forcer l’utilisation d’IPv6 et dans ce cas abandonner IPv4?
Pour la présence online, je sais qu’arptables et ebtables existent mais ce sont encore des grosses parties inconnues pour moi, je ne veux pas saturer ma petite tête donc je me concentre sur iptables et ensuite je rajouterai ip6tables et les autres pour voir ce qu’on peut faire avec. Par la suite je me renseignerai sur les outils comme fail2ban, portsentry, des méthodes comme le portknocking, le single packet authorization voire le bruteforce sur les tentatives de connexion.
Pour le blocage des paquets fragmentés je n’ai pas de soucis pour surfer, comment vérifier si c’est néfaste?
Pour mes limitations de connexions, comment je peut contrer une DoS autrement?
Concernant les sflow, cluster,… ce sont des points à éclaircir pour moi, j’y réfléchirai. Merci pour les infos!
Je (re)précise aussi que je n’ai aucune formation dans l’informatique, tout ce que je sais je l’ai appris “sur le tas”, j’apprends un peu lentement mais c’est pour être sûr de bien tout maîtriser. J’ai donc pleiiiiin de lacunes mais je cherche à les combler.