Bon, je suis en train d'essayer de rendre mes règles un peu plus stricte, mais je me retrouve face à un problème inattendu : comment m'y prendre.
 
Je travail essentiellement sur le Forward (ma passerelle ne fait que du filtrage, donc très simple).
Et jusqu'a present, j'avais quelque chose comme :
 

 
Qui a le mérite d'être très simple et relativement efficace. En cas de backdoor, je suis à poil...
 
Donc, pour l'éviter, je me suis lancé dans une restriction plus importante de ce qui rentre (donc sur la 2nde règle). Je me suis mit à préciser les ports qui étaient autorisés....
Soit :
 

 
Hormis que c'est une prise de tête pas possible, je ne suis toujours pas à l'abris des backdoor.
 
 
Donc, ma question : est-ce si choquant de vouloir controler tout ce qui sort, sans trop faire attention à ce qui rentre ??
 
Soit, quelque chose de la forme :
 

 
Je pose la question, car je n'ai rien trouvé du style sur le Net, donc est-ce une énorme bourde ?? ou pas ?
 
Le passant.

Bah à moins que ton backdoor aille par lui-même ouvrir une connexion vers une machine extérieure sans que personne ne lui demande quoi que ce soit, t'es à l'abris...
 
Après, même avec les solutions que tu proposes, rien n'empêcherait qqn de demander au backdoor d'ouvrir une cession vers un client qui serait par exemple sur le port 80 de sa babasse...
 
Bref, faut bien voir que simplement avec iptables, t'auras jamais une sécurité parfaite...  
 
Après, faut passer à des systèmes d'analyse d'en-tête de paquets, genre snort... mais c'est BEAUCOUP plus bourrin...

Et rien  n'empeche le soft de la backdoor d'encapsuler son protocole dans de l'HTTP, dans quel cas t'es fichu...

 
Argh, j'y avais pas pensé....
C'est donc le problème insoluble visiblement...
A moins de taper dans la grosse artillerie.
 
Le passant.

Si, y'a une solution ...
Les chèvres et le Larzac ...

Ben tu bloques tout les ports et apres t'ouvres les ports que tu utilses 1 par 1 c la meilleur solution..
 
@+

 
J'aime pas les chèvres... ni le Larzac...    
 
Le passant.

Nan le probleme est le meme...
Une appli backdoor peut tres bien utiliser un port normalement utilise pour un truc standard (http, ftp, ssh... etc...).
 Ou alors tu precise aussi les adresses ip de destination... mais c'est pas tres faisable en pratique

Tu peux aussi changer les ports par defaut genre le HTTP sur le port 8012, le FTP sur le 2123...
 
Et surtout chrooter tes applications qui le supportent (presque toutes maintenant), et tu devrais etre a peu pres protege, meme en cas d'attaque...
 
snort c'est bien, mais un peu lourd. Tu peux prendre un truc genre Tripwire aussi (pas le Tripwire for webpages, hein). Ca verifie l'intergite de tes fichiers, bien foutu et pas trop lourd...