[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Serveur WEB sécurisé



> > Fais gaffe aussi dans ton firewalling avec les ICMP: refuse-les ou mets des limites,
> > p.ex. max. 1 ping/seconde. Pense aussi à mettre des limites sur les logs (si tu
> > veux faire des logs) du firewall, histoire de ne pas te faire bouffer ton disque ;)
> 
>   Comment peux-t'on limiter les requêtes ICMP ?? c'est avec iptables ça ?

iptables --append INPUT --protocol icmp -m limit --limit 1/second -j ACCEPT

cf. "man iptables", cherche après "limit"

Mais bon, note que c'est un exemple... Tu ne devrais sans doute pas accepter
*tous* les ICMP. Donc ajoute encore soit une chaîne custom pour les ICMP, p.ex.:

iptables --create ICMP_INPUT
iptables --append ICMP_INPUT -p icmp --icmp_type address-mask-request -j DROP
# ... refuser autres types ICMP prohibés

# le reste, on accepte:
iptables --append ICMP_INPUT -p icmp -j ACCEPT

# pour finir, ajouter l'embranchement vers la chaîne custom ICMP_INPUT
iptables --append INPUT -i ippp0 -p icmp -m limit --limit 1/second -j ICMP_INPUT

>   (et via ipchains, y a possibilité aussi ?)

je ne sais pas, mais passe à iptables de toute façon ;))

--
  -o) / Pascal Bleser                   ATOS Origin|
  /\\ \ e-Business Platform         Aachen, Germany|
 _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
---------------------------------------------------|
rm -rf /bin/laden || cat usa >/dev/null            :
---------------------------------------------------'

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]