Règles iptables correctes?

Pause Café
#1

Bonjour!
Je souhaite protéger mon pc au mieux. J’aurais donc besoin de votre avis sur ce script que j’ai fait. Il y a une partie que je ne comprend pas très bien (copié/d’une ressource internet). Je vois en gros ce que ça fait, mais je ne sais pas si c’est vraiment utile. Donc si vous avec du temps pour m’expliquer ça serait gentil. Il s’agit de la partie “règles pour éviter les attaques ???”.
Bien, soyez indulgents svp, j’essaie d’apprendre :slightly_smiling: .

[code]#!/bin/bash

stop the iptables

/etc/rc.d/iptables stop

reset iptables rules

iptables -t filter -F
iptables -t filter -X

on empèche tout de passer

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

Initialisation de la table NAT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Initialisation de la table MANGLE

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

on autorise le loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

on autorise les connections internet qu si ça vient de chez moi

iptables -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o wlan0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i wlan0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -j LOG

règles pour éviter les attaques ???

allow only SYN packets

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

force fragments packets check

iptables -A INPUT -f -j DROP

drop incoming malformed XMAS packets

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

drop all NULL packets

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

----------------------------------------------------------------------------

Hide the computer # (optional)

block PING request

iptables -A INPUT -i wlan0 -p icmp --icmp-type echo-request -j DROP

ICMP type match blocking

iptables -I INPUT -p icmp --icmp-type redirect -j DROP
iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP
iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP

Ouvertures persos

#iptables -t filter -A INPUT -p tcp --dport 55550 -j ACCEPT

----------------------------------------------------------------------------

the end

/etc/rc.d/iptables save

/etc/rc.d/iptables start

print the iptables

iptables -L;

exit 0;

[/code]

#2

J’ai fait un script si moche que ça que personne n’ose même le commenter? :slightly_smiling:

#3

Pas du tout… J’attendais avidement des commentaires avertis, ça m’intéresse !
Je suis moi même incapable de te dire si c’est bon ou pas :mrgreen:

Le plus simple c’est de le tester !
Essai pour voir si tu accède aux services dont tu as besoin + scan de port sur les interfaces histoire de vérifier les ports ouverts.

Tu peux aussi voir ici : pcflank.com/ pour tester à partir de l’extérieur.

#4

Pas du tout… J’attendais avidement des commentaires avertis, ça m’intéresse !
Je suis moi même incapable de te dire si c’est bon ou pas :mrgreen:

Le plus simple c’est de le tester !
Essai pour voir si tu accède aux services dont tu as besoin + scan de port sur les interfaces histoire de vérifier les ports ouverts.

Tu peux aussi voir ici : pcflank.com/ pour tester à partir de l’extérieur.[/quote]
Les résultats dépendent des sites en fait. La seule erreur qui m’a été retournée jusque là, c’est juste que mon pc répond aux pings (alors que à priori ça devrait pas vu les règles, mais je n’ai sûrment pas tout compris à ce sujet…)