règle par défaut iptables [RÉSOLU]

Support Debian
#1

Bonjour

J’ai installé une debian Etch noyau 2.6.18

j’ai configurer mon réseau avec pppoeconf

Internet marche très bien, mais quand je regarde les règles d’IPTABLES
il y en a qu’une dans la table Mangle :

Generated by iptables-save v1.3.6 on Wed May 7 00:31:44 2008

*mangle
:PREROUTING ACCEPT [3113:3007832]
:INPUT ACCEPT [3113:3007832]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2914:1262732]
:POSTROUTING ACCEPT [2928:1264857]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

Completed on Wed May 7 00:31:44 2008

Je n’ai pas configurer iptables c’est donc une instal par défaut.

Ma question c’est de savoir si je suis protégé avec cette seule règle ?

J’ai récupérer des règles sur ce forum, mais le net à l’air plus lent avec ces règles.

Si qq1 veut bien m’expliquer cette règle unique !!

Merci

Bonne soirée

#2

Cette règle n’apporte aucune protection car tel n’est pas son rôle. Son rôle est de modifier à la volée une option des connexions TCP appelée MSS (maximum segment size) afin d’éviter des problèmes de fragmentation ou de connectivité en PPPoE.

#3

Bonsoir,

Ok merci, Donc il faut que je conserve cette regle alors ?
J’ai déjà mis en place tout un tas de règles que j’ai trouvé sur ce site.
Est-ce que iptables est le seul moyen de se protéger, j’ai entendu parlé de ipcop, qu’en pensez-vous ?

Merci

#4

J’ai oublié de préciser que cette règle, comme toutes celles des chaînes FORWARD, sert uniquement si la machine joue le rôle de routeur. Pour un simple “hôte” (machine non routeur), elle ne sert à rien.

Iptables, comme tout filtre de paquets, n’est ni le seul moyen de se protéger ni suffisant. Le premier moyen c’est de ne faire tourner sur sa machine que des applications sûres et dont on a besoin, et de régler leurs droits d’accès. Un filtre de paquets ne protège pas ou mal contre les failles applicatives, par exemple contre les attaques d’un serveur web compromis contre un navigateur vulnérable.

IPcop n’est pas un simple pare-feu à installer sur sa distribution favorite, c’est un système complet à lui tout seul.

#5

Merci pour les précisions

Bonne soirée