Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente | |||
|
iptables [Le 21/03/2018, 11:39] 185.34.33.2 [Script iptables] moi |
iptables [Le 21/03/2018, 11:42] (Version actuelle) 185.34.33.2 [Script iptables] |
||
|---|---|---|---|
| Ligne 233: | Ligne 233: | ||
| iptables-restore < /etc/iptables.test.rules | iptables-restore < /etc/iptables.test.rules | ||
| - | ## Script iptables by BeAvEr. | + | ### Script iptables by BeAvEr. |
| ## Règles iptables. | ## Règles iptables. | ||
| - | ## Flush iptables | + | # Flush iptables. |
| iptables -F | iptables -F | ||
| Ligne 246: | Ligne 246: | ||
| iptables -t mangle -X | iptables -t mangle -X | ||
| - | ## On drop tout le trafic entrant. | + | # On drop tout le trafic entrant. |
| iptables -P INPUT DROP | iptables -P INPUT DROP | ||
| - | ## On drop tout le trafic sortant. | + | # On drop tout le trafic sortant. |
| iptables -P OUTPUT DROP | iptables -P OUTPUT DROP | ||
| - | ## On drop le forward | + | # On drop le forward |
| iptables -P FORWARD DROP | iptables -P FORWARD DROP | ||
| - | ## On drop les requêtes ICMP (votre machine ne répondra plus aux requêtes ping sur votre réseau local) | + | # On drop les requêtes ICMP (votre machine ne répondra plus aux requêtes ping sur votre réseau local) |
| iptables -A INPUT -p icmp --icmp-type echo-request -j DROP | iptables -A INPUT -p icmp --icmp-type echo-request -j DROP | ||
| iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP | iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP | ||
| - | ## On accepte le Multicast | + | # On accepte le Multicast |
| iptables -A INPUT -m pkttype --pkt-type multicast -j ACCEPT | iptables -A INPUT -m pkttype --pkt-type multicast -j ACCEPT | ||
| - | ## Trafic Samba (Découverte du réseau...) | + | # Trafic Samba (Découverte du réseau...) |
| iptables -t raw -A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns | iptables -t raw -A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns | ||
| - | ## On drop les scans XMAS et NULL. | + | # On drop les scans XMAS et NULL. |
| iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP | iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP | ||
| Ligne 281: | Ligne 281: | ||
| iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP | iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP | ||
| - | ## Dropper silencieusement tous les paquets broadcastés. | + | # Dropper silencieusement tous les paquets broadcastés. |
| iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP | iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP | ||
| | | ||
| - | ## Permettre à une connexion ouverte de recevoir du trafic en entrée. | + | # Permettre à une connexion ouverte de recevoir du trafic en entrée. |
| iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT | iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT | ||
| - | ## Permettre à une connexion ouverte de recevoir du trafic en sortie. | + | # Permettre à une connexion ouverte de recevoir du trafic en sortie. |
| iptables -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT | iptables -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT | ||
| - | ## On accepte la boucle locale en entrée. | + | # On accepte la boucle locale en entrée. |
| iptables -I INPUT -i lo -j ACCEPT | iptables -I INPUT -i lo -j ACCEPT | ||
| - | ## On log les paquets en entrée. | + | # On log les paquets en entrée. |
| iptables -A INPUT -j LOG | iptables -A INPUT -j LOG | ||
| - | ## On log les paquets forward. | + | # On log les paquets forward. |
| iptables -A FORWARD -j LOG | iptables -A FORWARD -j LOG | ||