Ca y est j'arrive à faire marcher mon firewall/routeur...
Voila mon fichier script:

 
Mais j'ai quand même quelques questions:
1/ Est-ce que la gestion du ftp ne craint pas au niveau sécurité?  
2/ Pourquoi Msn marche alors que je ne lui ai pas ouvert de port?
3/ Pourquoi dans mes log, iptable me DROP:
Oct 30 19:02:49 [kernel] [IPTABLES DROP] : IN=eth1 OUT=eth0 SRC=81.48.130.117 DST=192.168.0.3 LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=57559 PROTO=UDP SPT=4672 DPT=8090 LEN=26
alors que j'ai crée une règle pour qu'il le forward...
4/ Comment puis-je sécuriser au maximum la passerelle/firewall contre les attaques de méchant hackers pas gentils?
N'hésitez pas à critiquer et à me donner des conseils, c'est mon premier firewall alors j'ai besoin de vos conseils d'experts  

Si tu pouvais mettre le résultat avec iptables -L -nv, le diagnostic serait + facile.
 
A+

voila

Une premiere remarque ( pour la forme ) que tu pourrais faire c'est d'utilisé ceci quand tu doit appliquer les memes regles a plusieurs ports differents :
-m multiport --dports 20,20,22,23
 
Ceci me parait faire doublon :
  117K   11M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0          state ESTABLISHED
    563 69383 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0          state NEW,ESTABLISHED
 
En ce qui concerne la secu :
pas bien d autoriser l'icmp en in
    349 41952 ALLOW_ICMP  icmp --  *      *       0.0.0.0/0            0.0.0.0/0
pas bien :
      0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
si ca doit etre pour le ftp utilise le module contrack_ftp
 
Pour msn, je crois qu'il passe par le port 80 pour sortir ... a confirmer
 
en ce qui concerne un port d'une machine interne a ton réseau, n'oublie pas de prérouté :
$IPTABLES -t nat -A PREROUTING -d *** -i *** -p tcp --dport 25 -j DNAT --to-destination ***:25
 
A+

Merci pour ton aide!
 

Je crois (d'après ce que j'ai lu) que cela utilise le module contrack_ftp et je ne pense pas qu'il y ait d'autre moyen de faire ça. Je me trompe?

exact le nom du module: ip_conntrack_ftp
 
Sinon moi j'ai bien configurer mon serveur qui appartient à mon rezo local mais j'amerais savoir qu'elles sont les regles à mettre pour lui permetrte de ce mettre à jour (apt-get update) et de surfer. ?

du moins ce k il faut ouvrir koi

En quoi est ce mal de ne pas autoriser l'icmp ?
(le coup de la protection du flood ca marchera pas sur une ligne adsl car elle va quand meme se les manger les paquets   ,le coup d'etre invisible ne marche pas surtout si il y a des serveurs sur la dite machine )

 
Pinger une machine c'est un des tests qu l'on fait pour voir si elle est là, donc ca pourra surement faire passer leurs chemins a kelkes scripts kiddies.
Pi bon avoir le moins de services qui repondent sur une machine, ca me parrai etre une des bases de la secu ...
 
A+

   
des services sur une machine qui ne répondent pas ?
quel est l'intéret d'avoir de tels services alors ?

je crois (je peux dire une connerie aussi) qu'il y a la possibilité de rejetter à partir d'un certain taux...genre au bout de 30 pings en 10 secondes interdire l'ICMP5
 
==>ce permet de répondre aux ping tt en protégeant contre un PoD

 
le PoD c'est pas un problème de frequence de ping, mais plutot de taille de paquet envoyé

 
Je parle ici d'icmp au sens de service ...
 
A+

dans ce cas l'icmp lui aussi _est_ utile .
que tu ne veuilles pas répondre au ping de base soit .mais l'imcp a tout de meme un rôle ne serais ce _que_ pour adapter la taille des paquets .
Suffit de prendre l'exemple passé de infobel qui filtrait comme un porc l'imcp sans réfléchir ( sous prétexte de protection contre les floods a coup sur ) bilan un certain nombre d'utilisateurs ayant une mtu 'exotique' avaient des problèmes d'acces au site ...

 
Je ne vois pas le rapport ici entre l'icmp et l'accés à un site
 
A+

 
1/non, il faut juste bien canalisé le flux , l'idéal est le filtage applicatif (trendMicro Virus Wall : super outil)
2/no sabé,
2/no sabé,
4/ perso sur ma mdk 9.1 : j'ai le kernel secure de mdk (tres bon) et surtout j'utilise un outils digne des plus puissants firewall : FwBuilder (meme interface que checkpoint , watchGuard etc ...).
 
Ca permet de construire un bon firewall digne de ce nom, tout est codable.(il génére meme des scipts pour des cibles style cisco PIX, ipf , ipchains etc ...)

l'imcp permet a deux machines d'adapter la taille des paquets que ces deux machines s'échangent .
en partant du principe que tu filtres l'imcp comme un bourrin cette échange ne peut avoir lieu. ( c'était le cas passé de infobel ) bilan les deux machines ne peuvent pas 'coordonner' la taille des paquets qu'ils s'envoient bilan c'est comme si tu faisais un >/dev/null sur les paquets de données que tu envoyais
dans mon exemple passé un certain nombre de personnes étant en pppoe ( donc mtu batarde de 1492 ) ne pouvaient pas acceder au site d'infobel jusqu'a ce que cet admin réalise que filtrer l'imcp comme un bourrin ne servait a rien ( ca a quand meme durer 6 mois au moins )  

Pourquoi "par défaut on drop tout" et pas seulement le INPUT ?

parce que tu n'es pas sur que ta machine n'est pas compromise ; ni que ton réseau ne l'est pas

ça veut dire quoi "compromise" ?

que quelqu'un (sens une entité, ça peut-être un virus ou un troyen) est installé sur ta machine/réseau.
 
si tu ne drop pas tout par défaut, il est possible qu'il essaye de contacter l'extérieur > risque de dissémination des virus ou de prise de contrôle à distance de ta machine. Enfin, c'est quand même pas super fréquent chez les particuliers (du moins pour la passerelle, parce qu'un ordinateur sous windows derrière...)

c'est d'ailleurs le principe d'un certain nombre de virus outlook : ils installent un miniserveur mail chez toi pour faire des envois depuis ta machine.
 
en droppant tout, tu bloques ces sorties non désirées et tu empeches la propagation meme si un de tes postes a été infecté