[Linux] iptables

Hervé Eychenne rv@::1
Sam 24 Mar 16:30:47 CET 2007


On Fri, Mar 23, 2007 at 01:23:14AM +0100, Jonathan ROTH wrote:

> Pierre Dinh-van a écrit :

> >iptables -N blacklist
> >iptables -I INPUT -j blacklist
> >IPS=$(grep -v '^#' /etc/firewall/blacklist|tr "\n" " ")
> >for ip in $IPS; do
> > iptables -A blacklist -s $ip -j DROP
> >done

> Et donc, au lieu d'avoir un smtp qui refoule un spammeur,
> voyons grand, en moyenne 10 fois par jour,

> le noyau va vérifier les règles, pour _chaque_ _paquet_...
> ...voyons petit, 100 fois par seconde, je ne suis pas sûr que ce soit 
> meilleur,
> surtout si la blacklist est longue...

C'est vrai, mais avec une machine de puissance correcte (actuelle),
ça ne devient gênant que lorsqu'on dépasse les 5000 règles (adresses
IP, ici). Pour ces cas-là, il y a ipset.
Je n'ai malheureusement pas le temps d'en dire plus (d'autant que la
doc que je connais est très mal faite... si quelqu'un trouve un bon
tutoriel, c'est toujours intéressant à donner sur une liste comme
celle-ci).

> A la limite, on pourrait ajouter au début :

> iptables -I INPUT 1 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -I INPUT 1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Oui, mais spécifier le protocole n'a pas beaucoup de sens. Une seule
ligne, sans -p fait très bien l'affaire.

 Hervé


Plus d'informations sur la liste de diffusion linux