Les caractéristiques de netfilter sous Linux 2.4
|
2.6 Autres possibilités
- mac : vérifie l'adresse mac source
- limit : limite le rythme maximal de correspondance d'une
règle (défaut 3/h)
- limite le nombre de paquets journalisés par seconde :
- iptables -A FORWARD -m limit --limit 3/s -j LOG
- limite le nombre de paquets SYN par seconde :
- iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
- limite l'efficacité des scanners de ports
- iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
- limite le nombre de requêtes icmp de type echo-request par seconde
- iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
- iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
- limite le nombre de paquets journalisés par seconde :
- owner : correspond à un paquet généré localement par :
- un utilisateur (uid) : --uid-owner userid
- iptables -A OUTPUT -m state --state NEW -p tcp --syn --dport 80 -m owner ! --uid-owner 0 -j ACCEPT
- iptables -A OUTPUT -p tcp --syn --dport 80 -j DROP
- un groupe (gid) : --uid-owner groupid
- un processus (pid) : --pid-owner processid
- une session (sid) : --sid-owner processid
Attention :
- owner ne peut être appliqué qu'à la chaine OUTPUT
- certains paquets n'ont pas de propriétaire : les réponses icmp...
Cette option est unique : aucun autre filtre IP ne la possède sous Unix.
- un utilisateur (uid) : --uid-owner userid
|
Les caractéristiques de netfilter sous Linux 2.4
|
® © Hervé Schauer Consultants 2000 -
4 bis, rue de la gare -
92300 Levallois-Perret