Interdire tout paquet entrant : iptables -A INPUT -j DROP Effacer la rgle : iptables -D INPUT 1 Interdire le protocole ICMP : iptables

es -A INPUT -p icmp -j DROP Interdire le protocole ICMP provenant de localhost iptables -A INPUT -p icmp -s localhost -j DROP Interdire tout paquet destination de localhost : iptables -A OUTPUT -d localhost -j DROP Interdire un paquet s'il ne provient pas de localhost : iptables -A INPUT -s ! localhost -j DROP Interdire tout paquet entrant par eth0 : iptables -A INPUT -i eth0 -j DROP 2. Crer une premire chane personnalise : iptables -N SSH_WHITELIST Ajoutez ensuite les machines de votre rseau : iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT 4. Ajoutez les lignes suivantes pour paramtrer le blocage et les logs contre le Brute force SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG_DROP Crer une nouvelle chane utilisateur : iptables -N test Supprimer une chane utilisateur vide : iptables -X test Changer la police dune chane iptables -P FORWARD DROP Afficher les rgles dune chane : iptables -L Supprimer les rgles dune chane ou de toutes les chanes iptables F INPUT iptables -F Ajouter une nouvelle rgle une chane iptables -A INPUT -s 0/0 -j DENY Supprimer une rgle une position quelconque de la chane iptables D INPUT 1 Supprimer la premire rgle vrifie dans la chane iptables -D INPUT -s 127.0.0.1 -p icmp -j DENY Vrifier que votre interface de bouclage fonctionne correctement ping c 1 127.0.0.1 Interdire toute rponse un ping iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP Effacer la rgle : iptables -D OUTPUT 1 Interdire tout paquet entrant par eth0 dont l'adresse mac n'est pas celle du voisin : iptables -A INPUT -i eth0 -m mac --mac-source ! 00:50:FC:23:2D:D7 j DROP Positionner la police par dfaut DROP pour la chane INPUT : iptables -P INPUT DROP crire une rgle qui laisse passer 5 tentatives de connexion TCP puis qui n'en laisse passer plus que 2 par minute iptables -A INPUT -p tcp --syn -m limit --limit 2/minute --limit-burst 5 j ACCEPT Faire de mme avec les pings iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT Interdire tout paquet destination du port ftp : iptables -A INPUT -p tcp --dport 21 -j DROP Interdire tout paquet sortant par eth0 dont le numro de port source est infrieur 1024 iptables -A OUTPUT -o eth0 -p tcp --sport :1023 -j DROP iptables -A OUTPUT -o eth0 -p udp --sport :1023 -j DROP Tester une connexion ftp/1 Effacer la rgle et re-tester une connexion ftp/1 Interdire toute tentative d'initialisation de connexion TCP provenant de eth0 : iptables -A INPUT -p tcp --dport 21 -j DROP Interdire tout paquet entrant correspondant un ping iptables -A INPUT -p icmp --icmp-type echo-request -j DROP Positionnez les rgles par dfaut DROP pour les chanes INPUT, OUTPUT, FORWARD iptables -P INPUT DROP iptables -P OUTPUT DROP