Bonsoir,
merci de vos réponses.
Au fait , je les lis , les liens , aussi.
#!/bin/bash
# Active la protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Active la protection sur les mauvais messages d'erreur
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Protection contre le broadcast echo
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Active la protection TCP SYN Cookie
#echo 1 > /proc/sys/net/ipv4/tcp_syncookie
# Protection contre les IP Spoofing : ip non-routables
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
for f in /proc/sys/net/ipv4/conf/*/arp_filter; do echo 1 > $f; done
# Protection ICMP redirect
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Desactivation Source Routed
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Surveillance de la taille de la fenetre TCP
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
# Lutte contre le denis de service (DoS)
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
# Change default TTL value
echo 64 > /proc/sys/net/ipv4/ip_default_ttl
echo 0 > /proc/sys/net/ipv4/ip_dynaddr
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_dsack
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Supprimer les regles precedentes (linux + perso)
ip6tables -F
ip6tables -X
iptables -F
iptables -X
# Remise a zero des regles de filtrage
ip6tables -F INPUT
ip6tables -F FORWARD
ip6tables -F OUTPUT
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
# Supprimer les redirections de ports
iptables -t nat -F
iptables -t nat -X
# Supprimer les regles de modification de paquets (mangle)
ip6tables -t mangle -F
ip6tables -t mangle -X
iptables -t mangle -F
iptables -t mangle -X
# Supprimer les filters
ip6tables -t filter -F
ip6tables -t filter -X
iptables -t filter -F
iptables -t filter -X
# first set the default behaviour => drop connections
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m pkttype ! --pkt-type unicast -j DROP
iptables -A INPUT -f -j DROP
iptables -A FORWARD -f -j DROP
iptables -A OUTPUT -f -j DROP
# optimisation
iptables -t mangle -A PREROUTING -p udp --sport 53 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p udp --dport 53 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p tcp --sport 80 -j TOS --set-tos Maximize-Throughput
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos Maximize-Throughput
# Allow loopback access
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 ! -f -m state ! --state INVALID -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 ! -f -m state ! --state INVALID -j ACCEPT
# Allow dns access
iptables -A INPUT -i eth0 -p udp -s 192.168.1.2 -d 192.168.1.1 --sport 53 --dport 32768:61000 ! -f -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s 192.168.1.2 -d 192.168.1.2 --sport 32768:61000 --dport 53 ! -f -m state --state NEW,ESTABLISHED -j ACCEPT
# Allow http access
iptables -A INPUT -i eth0 -p tcp -d 192.168.1.1 --sport 80 --dport 32768:61000 ! -f -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s 192.168.1.1 --sport 32768:61000 --dport 80 ! -f -m state --state NEW,ESTABLISHED -j ACCEPT
# Drop and log All
iptables -A INPUT -j LOG --log-ip-options
iptables -A FORWARD -j LOG --log-ip-options
iptables -A OUTPUT -j LOG --log-ip-options
iptables -A INPUT -p all -j DROP
iptables -A FORWARD -p all -j DROP
iptables -A OUTPUT -p all -j DROP
ip6tables -A INPUT -j LOG --log-ip-options
ip6tables -A FORWARD -j LOG --log-ip-options
ip6tables -A OUTPUT -j LOG --log-ip-options
ip6tables -A INPUT -p all -j DROP
ip6tables -A FORWARD -p all -j DROP
ip6tables -A OUTPUT -p all -j DROP
################################
echo "done"
exit 0
################################
Voilà , j 'ai testé cela fonctionne et me semble faire un bon firewall par défaut.
Juste à remplacer par son IP et son DNS , voire anywhere pour la simplicité.
Les Bogons , j 'a toujours lu sur le net des gens qui les mettent.
( là , il sont à jour en plus )
Idem pour l 'egress afin d 'éviter les 0-Day.
( cf google )
Je présume que vous etes , je pense , sous bsd , car vous ne mettez que des règles pour l 'OUTPUT.
Sous Linux , il faut aussi les INPUT , sinon = pas de connection.
( Ce n 'est pas comme pour PF. )
Je précise les ports , bien entendu 32768:61000 et 53 udp seulment pour le DNS:toujours mieux.
Pour un troyen , j 'en ai eu un récemment sous linux alors ...
( z quelque chose , de mémoire , et un back-orifice linux aussi )
Une intrusion , surement du à une faille d 'ailleurs.
Je présume par un scan netcat avant ; ou autre.
Je suis allé pour porter plainte , mais j 'ai l 'impression que la police ne fait pas trop son travail ( dans mon cas )
Enfin , il me semble bien ( je peux me tromper ).
Un peu étrange mon commissariat ( en tout cas )
Mais il vont bien y arriver un jour:
"Tout est possible"
Dommage , mais en tout cas ce genre de personnes méritent , bien , une punition non ?
Les peines en France , sont assez sévères au fait.
Après , si ils habitent à l 'étranger:c 'est autre chose ?
Aux U.S.A , les peines sont encore plus lourdes.
Mais bon , c' est du HS là.
Et pourant , je surfe normalement.
Alors , les troyens sous Linux cela se trouve comme pour les 10% d 'ordinateurs sous trojans ( dans leur PC ou Modem-routeur ) de part le monde.
A l 'insu des personnes.
Mon FAI a déjà , par défaut , une porte dérobée dans son modem-routeur:assez rigolo à lire sur le net.
Pas de parano là dedans:la réalité.
Linux est comme Windows , une faille = un hack possible.
Fin du H.S
@ melodie
J 'utilise aussi ghost pour les webbug.
Ainsi qu 'un host comme vous.
Au fait , le lien Léa pointe sur un 404.
Ixus , me semble plus orienté admi que particulier.
Je ne sais pas si , pour eux , ils ont un firewall par défaut comme le notre là.
Voilà-voilà.
