Tâche #29347
Scénario #29343: Evolutions de la partie Pare-feu de l'ead3
Dans "Règles de pare-feu appliquées", ne pas tenir compte de la première ligne des règles iptables "state RELATED,ESTABLISHED"
Status:
Fermé
Priority:
Normal
Assigned To:
-
Target version:
Start date:
11/29/2019
Due date:
% Done:
0%
Remaining (hours):
0.0
Description
Dans "Règles de pare-feu appliquées", la première ligne pour chaque chaîne est à chaque fois :
filter <chain aaa-bbb> ACCEPT 0.0.0.0/0 0.0.0.0/0 ip
On peut croire que tous les flux IP sont autorisés de la zone aaa vers la zone bbb alors que la politique par défaut n'est pas obligatoirement celle-ci.
Ceci concerne en fait la ligne "State RELATED,ESTABLISHED" :
root@essl-271dev-6375:~# iptables -vnL pmi-bas
Chain pmi-bas (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Associated revisions
ajout d'un filtre des règles iptables ref: #29347
meilleurs filtrages des règles (ref #29347)
History
#1 Updated by Matthieu Lamalle over 3 years ago
- Status changed from Nouveau to Résolu
#2 Updated by Emmanuel GARETTE over 3 years ago
Lignes supprimés :
-A adm-bas -m state --state RELATED,ESTABLISHED -j ACCEPT -A ext-bas -i xxxx -m limit --limit 2/sec -j LOG --log-prefix "iptables connection attempt: " -A FORWARD -i xxxx -o ens4 -j yyy-xxx -A FORWARD -o ens4 -j netbios-ext -A INPUT -i xxxx -p icmp -j icmp-acc
Avec la ligne :
-A adm-ped -m pkttype --pkt-type broadcast -j DROP
La destination est replacé par le mot "broadcast".
Pour :
-A PREROUTING -i ens7 -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-dmz-ext-3-src src -j RETURN
La cible est replacé par "ipset".
#3 Updated by Thierry Bertrand over 3 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) set to 0.0