Pare-feu

De Wiki Seb35
Révision datée du 7 juillet 2021 à 12:16 par Seb35 (discussion | contributions) (qq notes sur les pare-feu, à compléter dans la durée, ici DHCP)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Liste de quelques règles à autoriser (ou non), non-exhaustif.

Écrit en syntaxe nft.

DHCP

Poste client

En IPv4,

  • accepter les requêtes sortantes vers un serveur DHCP (ip … → 255.255.255.255 udp 68 → 67) ;
  • accepter les requêtes entrantes permettant la réponse (ip … → 255.255.255.255 udp 67 → 68) ;
  • oublier les requêtes entrantes venant d’autres clients à destination des serveurs DHCP (udp … → 67).
chain input {
	type filter hook input priority 0;
	ip daddr 255.255.255.255 udp sport 67 udp dport 68 counter accept comment "DHCP client"
	udp dport 67 counter drop comment "DHCP from other clients"
}
chain output {
	type filter hook output priority 0;
	ip daddr 255.255.255.255 udp sport 68 udp dport 67 counter accept comment "DHCP client"
}