Voilà, cette partie a été traitée.
J'ai également remplacé :
-A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
par
-A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,NEW -j ACCEPT
J'espère que c'est cohérent.
Le script actuel :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter
Merci.
Si on parle d'une machine exposée sur Internet comme ton VPS OVH,
tu n'as pas besoin du multicast. Cette techno n'a jamais pris sur
Internet. Si tu reçois du multicast sur l'interface, c'est du
bruit de fond local correspondant à des protocoles d'annonces de
services mals configurés sur les VPS voisins ou des besoins
spécifiques à OVH (FHRP par exemple).
L'IGMP est un protocole permettant à une machine de s'abonner à un
flux multicast routé. Donc si pas de multicast sur Internet, pas
besoin d'IGMP
Pour reprendre les propos de Pascal et Daniel, comme tu n'en pas
pas besoin, autant le bloquer mais sans pour autant créer des
règles dédiées. Personnellement, je trouve qu'un DROP par défaut
de tout en fin de chaîne (ou en action par défaut) va très bien et
évite de surcharger inutilement les règles.
Pour l'IPv6, le jour où tu le déploieras, en effet, comme l'a
rappelé Pascal, il faut faire attention à bien autoriser le
protocole NDP qui reprend, entre autre, le rôle d'ARP en IPv4 et
qui s'appuie sur de l'ICMPv6. Autant en IPv4 tu ne peux pas
bloquer l'ARP avec iptables, autant en IPv6 c'est assez facile de
se couper les pattes en bloquant NDP ou plutôt en oubliant de
l'autoriser
NDP repose sur des paquets ICMPv6 échangés localement en multicast
certes, mais surtout des paquets ICMPv6 particuliers.
Personnellement, je n'autorise pas le multicast sur mes règles
ip6tables mais uniquement les paquets ICMPv6 dont les
caractéristiques concordent précisément avec les paquets attendus
(adresses fe80::, HL = 255, types & codes qui vont bien,
etc...).
Enfin, petit point si je puis me permettre :
# Permettre à une connexion ouverte de recevoir du trafic en
entrée.
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Personnellement, j'aurais fait comme cela :
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
Autoriser RELATED sans restriction est une mauvaise habitude de
beaucoup de docs en ligne et la source de problèmes de sécurité
importants même si depuis la version 4.7 du kernel les helpers ne
sont plus activés par défaut pour éviter ce problème. En revanche,
c'est mieux de le laisser autoriser pour l'ICMP.
De plus, il faudra activer le helper FTP pour ton serveur FTP. Une
doc ici sur le sujet : https://gist.github.com/azlux/6a70bd38bb7c525ab26efe7e3a7ea8ac.
Cela te permettra en plus de fermer le port TCP/20
|