(Courriels de diversion: <terrifia@relecture-stridulations.com> <vivras@dots-emargeras.com> <scenes@devaluerions-ranimerent.com> <cassant@charnelles-inanimes.com> <lotissions@gonflage-equerrer.com> <viagers@interviendrais-ecraserions.com> <regionalisant@herissa-reactivables.com> <recevable@halte-insistaient.com> <dechiriez@saturer-hachurant.com> <tâtons@disseminerions-cries.com> )
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Je te remercie, je vais tester ton script de ce pas ... > Salut, > je te propose : > > ************************************************************************* > > -- Nettoyage : > > iptables -F > iptables -X > iptables -N ICMP > iptables -N ATESTER > > -- Regles par defauts : > > iptables -P INPUT DROP > iptables -P FORWARD DROP > iptables -P OUTPUT ACCEPT > > -- Stop les scannings : > > iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP > iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP > > -- puis autoriser les ports revenant de tes requetes sortantes : > > iptables -A INPUT -m state --state INVALID -j DROP > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > -- puis pour rajouter le filtre entrant : > > iptables -A INPUT -p icmp -j ICMP > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -j ATESTER > > -- Filtre des icmps UNREACH.,QUENCH,EXCEEDED,REQUEST,REPLY = OK > > iptables -A ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT > iptables -A ICMP -p icmp --icmp-type source-quench -j ACCEPT > iptables -A ICMP -p icmp --icmp-type time-exceeded -j ACCEPT > iptables -A ICMP -p icmp --icmp-type echo-request -j ACCEPT > iptables -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT > > -- Puis autorisations des ports utiles : > > -- exemple d'ouverture du port "ssh" en "tcp" > iptables -A ATESTER -p tcp --dport ssh -j ACCEPT > > -- exemple d'ouverture du port "dns" en "udp" > iptables -A ATESTER -p udp --dport dns -j ACCEPT > > -- exemple d'ouverture du "2026" en tcp > iptables -A ATESTER -p tcp --dport 2026 -j ACCEPT > > ************************************************************************* > > Et cerise sur le gateau, petite config des sysconfig du network : > > -- pas de forwarding ! > echo 0 > /proc/sys/net/ipv4/ip_forward > > -- taille max de defragmentation des paquets > echo 524288 > /proc/sys/net/ipv4/ipfrag_high_thresh > > -- taille min de defragmentation des paquets > echo 2048 > /proc/sys/net/ipv4/ipfrag_low_thresh > > -- temps max de defragmentation des paquets > echo 5 > /proc/sys/net/ipv4/ipfrag_time > > -- et pour finir, validation de la source par inversement de la route > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter > > Et re-cerise :) sur le gateau, optimisation des connexions en positionnant > les "tos-flags" 2 types de TOS tres utiles : > * Minimize-Delay : rend la connexion tres reactive, mais reduit le > taux de transfert * Maximize-Throughput : rend la connexion tres > "debiteuse", mais reduit la reactivité > > -- exemple d'optimisation de reactivité du ssh : > iptables -A OUTPUT -t mangle -p tcp --dport ssh -j TOS --set-tos > Minimize-Delay -- exemple d'optimisation du debit sur ftp : > iptables -A OUTPUT -t mangle -p tcp --dport ftp -j TOS --set-tos > Maximize-Throughput > > > et HOP c'est tout ! > > A+ - -- Franck \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\ franck@linuxpourtous.comFingerprint : 20F4 DBE5 7234 52D6 3610 BB17 D73C 1F7A 9E64 F6A1 http://www.linuxpourtous.com Clef PGP : http://www.linuxpourtous.com/download/franck_linuxpourtous.asc \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.0 (GNU/Linux) iD8DBQE9wOJ61zwfep5k9qERArE9AKCs+dvVpGEt9fg/0yYfoUXEI9LelACgmeK8 JRXP0FkAxAAg0NKNcviwPng= =0xni -----END PGP SIGNATURE----- --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>