iptables refuse les réseaux Bogons

Article publié, le 29 Juillet 2017 et modifié le 12 Octobre 2020
3 minutes de lecture

Cet article contient 500 mots.
Source brute de l'article :
Commit version : 3400549

Description

La RFC 1918 nous fait comprendre que les adresses de type privé ne doivent pas être publié sur Internet. De fait, puisque nul ne doit contacter l’interface réseau internet, il est bon de dropper tout flux qui y correspond !

La RFC 5735 définit l’ensemble des réseaux dits spécifiques, qu’il est bon de ne pas retrouver sur Internet !

Code : sh

iptables -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP # adr Class A privee
iptables -A INPUT -i eth0 -s 100.64.0.0/10 -j DROP # définit par la RFC 6598
iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP # adr de Loopback
iptables -A INPUT -i eth0 -s 169.254.0.0/16 -j DROP  # adr Link Local Network
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP # adr Class B privee
iptables -A INPUT -i eth0 -s 192.0.0.0/24 -j DROP
iptables -A INPUT -i eth0 -s 192.0.2.0/24 -j DROP # adr TEST-NET
iptables -A INPUT -i eth0 -s 192.88.99.0/24 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP # adr Class C Privee
iptables -A INPUT -i eth0 -s 198.18.0.0/15 -j DROP
iptables -A INPUT -i eth0 -s 198.51.100.0/24 -j DROP
iptables -A INPUT -i eth0 -s 203.0.113.0/24 -j DROP
iptables -A INPUT -i eth0 -s 224.0.0.1/4 -j DROP # adr Class D MultiCast
iptables -A INPUT -i eth0 -s 240.0.0.0/4 -j DROP # adr Class E Reservee
iptables -A INPUT -i eth0 -s 255.255.255.255 -j DROP # aucun flux ne doit être de source avec l'adressage de loopbak...

iptables -A OUTPUT -o eth0 -d 0.0.0.0/8 -j DROP
iptables -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP # adr Class A privee
iptables -A OUTPUT -o eth0 -d 100.64.0.0/10 -j DROP # définit par la RFC 6598
iptables -A OUTPUT -o eth0 -d 127.0.0.0/8 -j DROP # adr de Loopback
iptables -A OUTPUT -o eth0 -d 169.254.0.0/16 -j DROP  # adr Link Local Network
iptables -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP # adr Class B privee
iptables -A OUTPUT -o eth0 -d 192.0.0.0/24 -j DROP
iptables -A OUTPUT -o eth0 -d 192.0.2.0/24 -j DROP # adr TEST-NET
iptables -A OUTPUT -o eth0 -d 192.88.99.0/24 -j DROP
iptables -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP # adr Class C Privee
iptables -A OUTPUT -o eth0 -d 198.18.0.0/15 -j DROP
iptables -A OUTPUT -o eth0 -d 198.51.100.0/24 -j DROP
iptables -A OUTPUT -o eth0 -d 203.0.113.0/24 -j DROP
iptables -A OUTPUT -o eth0 -d 224.0.0.1/4 -j DROP # adr Class D MultiCast
iptables -A OUTPUT -o eth0 -d 240.0.0.0/4 -j DROP # adr Class E Reservee
iptables -A OUTPUT -o eth0 -d 255.255.255.255 ! -p icmp -j DROP # aucun flux ne doit être à destination avec l'adressage de loopbak, sauf sur le protocole ICMP...

Attention

Pensez à supprimer la ligne correspondant à votre réseau !

Documentations

RFC 1918 , RFC 5735

J’ai écrit ce mémo, pour la première fois, sur mon autre site : “Mémoire Grise Libérée”.