Alors --dport et pas -dport
Tu ne mets pas de regle par defaut sur les tables (pas bon)
Tu ne reprends pas la notion de RELATED, ESTABLISHED (quoique tu en parles dans un POST)
Pas de LOG.
Alors admettons pour la blacklist, dans le cas ou tu subits une attaque et par soucis de consomation de ressource (Deny of service) ), mais alors met le en premier lieu.
En principe tu devrais avoir les regles par default a DROP (sauf peut-etre l'OUTPUT) et n'ouvrir que les flux que tu veux, et ensuite faire un log avant le DROP final.
Sinon les premieres regles devraient etre les RELATED ESTABLISHED, et les DROP de "conna..." qui passent leur temps a lancer des scans ou des brute force attack sur le port ssh par exemple. Ensuite ne faire les DROP que sur les SYN est un peu leger a mon gout il existe toujours des moyens de recuperer des sessions sans lancer de SYN.
Poste le Thursday 19 April 2007 14:59:56