(Courriels de diversion: <lotissions@gonflage-equerrer.com> <viagers@interviendrais-ecraserions.com> <regionalisant@herissa-reactivables.com> <recevable@halte-insistaient.com> <dechiriez@saturer-hachurant.com> <tâtons@disseminerions-cries.com> <agenouillera@delestent-tanneur.com> <taxation@tutoyons-barrerent.com> <devinions@lisent-afficherait.com> <rouillaient@tâtonnait-phlebites.com> )
Salut, je te propose : ************************************************************************* -- Nettoyage : iptables -F iptables -X iptables -N ICMP iptables -N ATESTER -- Regles par defauts : iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT -- Stop les scannings : iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -- puis autoriser les ports revenant de tes requetes sortantes : iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -- puis pour rajouter le filtre entrant : iptables -A INPUT -p icmp -j ICMP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j ATESTER -- Filtre des icmps UNREACH.,QUENCH,EXCEEDED,REQUEST,REPLY = OK iptables -A ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A ICMP -p icmp --icmp-type source-quench -j ACCEPT iptables -A ICMP -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A ICMP -p icmp --icmp-type echo-request -j ACCEPT iptables -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT -- Puis autorisations des ports utiles : -- exemple d'ouverture du port "ssh" en "tcp" iptables -A ATESTER -p tcp --dport ssh -j ACCEPT -- exemple d'ouverture du port "dns" en "udp" iptables -A ATESTER -p udp --dport dns -j ACCEPT -- exemple d'ouverture du "2026" en tcp iptables -A ATESTER -p tcp --dport 2026 -j ACCEPT ************************************************************************* Et cerise sur le gateau, petite config des sysconfig du network : -- pas de forwarding ! echo 0 > /proc/sys/net/ipv4/ip_forward -- taille max de defragmentation des paquets echo 524288 > /proc/sys/net/ipv4/ipfrag_high_thresh -- taille min de defragmentation des paquets echo 2048 > /proc/sys/net/ipv4/ipfrag_low_thresh -- temps max de defragmentation des paquets echo 5 > /proc/sys/net/ipv4/ipfrag_time -- et pour finir, validation de la source par inversement de la route echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter Et re-cerise :) sur le gateau, optimisation des connexions en positionnant les "tos-flags" 2 types de TOS tres utiles : * Minimize-Delay : rend la connexion tres reactive, mais reduit le taux de transfert * Maximize-Throughput : rend la connexion tres "debiteuse", mais reduit la reactivité -- exemple d'optimisation de reactivité du ssh : iptables -A OUTPUT -t mangle -p tcp --dport ssh -j TOS --set-tos Minimize-Delay -- exemple d'optimisation du debit sur ftp : iptables -A OUTPUT -t mangle -p tcp --dport ftp -j TOS --set-tos Maximize-Throughput et HOP c'est tout ! A+ --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>