Tâche #29347
Scénario #29343: Evolutions de la partie Pare-feu de l'ead3
Dans "Règles de pare-feu appliquées", ne pas tenir compte de la première ligne des règles iptables "state RELATED,ESTABLISHED"
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
Début:
29/11/2019
Echéance:
% réalisé:
0%
Restant à faire (heures):
0.0
Description
Dans "Règles de pare-feu appliquées", la première ligne pour chaque chaîne est à chaque fois :
filter <chain aaa-bbb> ACCEPT 0.0.0.0/0 0.0.0.0/0 ip
On peut croire que tous les flux IP sont autorisés de la zone aaa vers la zone bbb alors que la politique par défaut n'est pas obligatoirement celle-ci.
Ceci concerne en fait la ligne "State RELATED,ESTABLISHED" :
root@essl-271dev-6375:~# iptables -vnL pmi-bas
Chain pmi-bas (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Révisions associées
ajout d'un filtre des règles iptables ref: #29347
meilleurs filtrages des règles (ref #29347)
Historique
#1 Mis à jour par Matthieu Lamalle il y a plus de 4 ans
- Statut changé de Nouveau à Résolu
#2 Mis à jour par Emmanuel GARETTE il y a plus de 4 ans
Lignes supprimés :
-A adm-bas -m state --state RELATED,ESTABLISHED -j ACCEPT -A ext-bas -i xxxx -m limit --limit 2/sec -j LOG --log-prefix "iptables connection attempt: " -A FORWARD -i xxxx -o ens4 -j yyy-xxx -A FORWARD -o ens4 -j netbios-ext -A INPUT -i xxxx -p icmp -j icmp-acc
Avec la ligne :
-A adm-ped -m pkttype --pkt-type broadcast -j DROP
La destination est replacé par le mot "broadcast".
Pour :
-A PREROUTING -i ens7 -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-dmz-ext-3-src src -j RETURN
La cible est replacé par "ipset".
#3 Mis à jour par Thierry Bertrand il y a environ 4 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0