Bonjour!
Je souhaite protéger mon pc au mieux. J’aurais donc besoin de votre avis sur ce script que j’ai fait. Il y a une partie que je ne comprend pas très bien (copié/d’une ressource internet). Je vois en gros ce que ça fait, mais je ne sais pas si c’est vraiment utile. Donc si vous avec du temps pour m’expliquer ça serait gentil. Il s’agit de la partie “règles pour éviter les attaques ???”.
Bien, soyez indulgents svp, j’essaie d’apprendre .
[code]#!/bin/bash
stop the iptables
/etc/rc.d/iptables stop
reset iptables rules
iptables -t filter -F
iptables -t filter -X
on empèche tout de passer
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
Initialisation de la table NAT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
Initialisation de la table MANGLE
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
on autorise les connections internet qu si ça vient de chez moi
iptables -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlan0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i wlan0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -j LOG
règles pour éviter les attaques ???
allow only SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
force fragments packets check
iptables -A INPUT -f -j DROP
drop incoming malformed XMAS packets
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
drop all NULL packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
----------------------------------------------------------------------------
Hide the computer # (optional)
block PING request
iptables -A INPUT -i wlan0 -p icmp --icmp-type echo-request -j DROP
ICMP type match blocking
iptables -I INPUT -p icmp --icmp-type redirect -j DROP
iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP
iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP
iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP
Ouvertures persos
#iptables -t filter -A INPUT -p tcp --dport 55550 -j ACCEPT
----------------------------------------------------------------------------
the end
/etc/rc.d/iptables save
/etc/rc.d/iptables start
print the iptables
iptables -L;
exit 0;
[/code]