Bonjour,
voila j'ai un routeur WRT54GL, donc qui a une base linux et la possibilité de faire du iptables.
Ma question est simple : Qu'est ce qui ne vas pas dans ma conf d'iptables ?
Voici mes règles de pare feu dans l'ordre dans lequel je les ai tapées :
Il doit me manquer quelque chose mais je n'arrive pas à mettre le doigt dessus....
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 iptables -F iptables -X iptables -N limite iptables -F limite iptables -A limite -p tcp --dport 2222 -m limit --limit 3/min --limit-burst 3 -j ACCEPT iptables -A limite -p tcp --dport 443 -m limit --limit 3/min --limit-burst 3 -j ACCEPT iptables -A limite -p ICMP --icmp-type echo-request -m limit --limit 3/sec -j ACCEPT iptables -A limite -p ! ICMP -j LOG --log-prefix " Connection dropper!! " iptables -A limite -p tcp -j REJECT --reject-with tcp-reset iptables -A limite -p udp -j REJECT --reject-with icmp-port-unreachable iptables -A limite -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p ICMP --icmp-type echo-request -j limite iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -j limite iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j limite iptables -P INPUT DROP
Pour moi je créer une nouvelle chaine "limite" que je créer pour éviter toutes attaques de type brute force sur mon port 2222 et 443 qui sont les port d'administration de mon routeur. Cette règles prend aussi en compte le flood d'ICMP... Je verrais plus tard, une fois ce problème régler pour filtrer les paquets syn.
Quand je met en places ces règles (via SSH sur mon routeur) j'ai de gros problème de réseau. Il devient parfois impossible de joindre le routeur. Donc ma connexion SSH plante parfois, ou il y a un temps de latence énorme... L'accès au WAN est quasi impossible, je crois que j'allais plus vite avec mon modem 56kbps....
Si quelqu'un voit une erreur dans ma configuration je lui serai reconnaissant de m'en faire part par email, MP, ou répondre à ce post.
Pensez vous que ce genre de règle peut faire crashé le routeur ? Je veux dire, pensez vous que le fait qu'il doivent analyser tout le trafic IN/OUT, le routeur a du mal a tout faire un même temps d'où les latences dans le LAN et/ou vers la WAN ?
Merci @ tous,
Bonne journée.
Partager