Pare-feu
Révision datée du 7 juillet 2021 à 12:16 par Seb35 (discussion | contributions) (qq notes sur les pare-feu, à compléter dans la durée, ici DHCP)
Liste de quelques règles à autoriser (ou non), non-exhaustif.
Écrit en syntaxe nft.
DHCP
Poste client
En IPv4,
- accepter les requêtes sortantes vers un serveur DHCP (ip … → 255.255.255.255 udp 68 → 67) ;
- accepter les requêtes entrantes permettant la réponse (ip … → 255.255.255.255 udp 67 → 68) ;
- oublier les requêtes entrantes venant d’autres clients à destination des serveurs DHCP (udp … → 67).
chain input { type filter hook input priority 0; ip daddr 255.255.255.255 udp sport 67 udp dport 68 counter accept comment "DHCP client" udp dport 67 counter drop comment "DHCP from other clients" } chain output { type filter hook output priority 0; ip daddr 255.255.255.255 udp sport 68 udp dport 67 counter accept comment "DHCP client" }