Discussion :

[rat9361]

Bonjour,

voila j'ai un routeur WRT54GL, donc qui a une base linux et la possibilité de faire du iptables.
Ma question est simple : Qu'est ce qui ne vas pas dans ma conf d'iptables ?

Voici mes règles de pare feu dans l'ordre dans lequel je les ai tapées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
iptables -F
iptables -X
 
iptables -N limite
iptables -F limite
iptables -A limite -p tcp --dport 2222 -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A limite -p tcp --dport 443 -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A limite -p ICMP --icmp-type echo-request -m limit --limit 3/sec -j ACCEPT
iptables -A limite -p ! ICMP -j LOG --log-prefix " Connection dropper!! "
iptables -A limite -p tcp -j REJECT --reject-with tcp-reset
iptables -A limite -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A limite -j DROP
 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type echo-request -j limite
iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -j limite
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j limite
iptables -P INPUT DROP

Il doit me manquer quelque chose mais je n'arrive pas à mettre le doigt dessus....

Pour moi je créer une nouvelle chaine "limite" que je créer pour éviter toutes attaques de type brute force sur mon port 2222 et 443 qui sont les port d'administration de mon routeur. Cette règles prend aussi en compte le flood d'ICMP... Je verrais plus tard, une fois ce problème régler pour filtrer les paquets syn.

Quand je met en places ces règles (via SSH sur mon routeur) j'ai de gros problème de réseau. Il devient parfois impossible de joindre le routeur. Donc ma connexion SSH plante parfois, ou il y a un temps de latence énorme... L'accès au WAN est quasi impossible, je crois que j'allais plus vite avec mon modem 56kbps....

Si quelqu'un voit une erreur dans ma configuration je lui serai reconnaissant de m'en faire part par email, MP, ou répondre à ce post.

Pensez vous que ce genre de règle peut faire crashé le routeur ? Je veux dire, pensez vous que le fait qu'il doivent analyser tout le trafic IN/OUT, le routeur a du mal a tout faire un même temps d'où les latences dans le LAN et/ou vers la WAN ?

Merci @ tous,

Bonne journée.

[Bashy]

Un peu farfelu tes règles !

Bon déjà les --reject-with autant mettre -j DROP (sinon je ne vois pas l'intérêt du firewall ici)

après pour le --limit je ne sais plus ce que représente le "rate" (dans le man iptables) mais si c'est 3 paquets / minute, effectivement, tu auras du mal.

PS: on dit connexion droppée