Enlève RELATED aux commandes iptables (faille séc, cf. https://gist.github.com/azlux/6a70bd38bb7c525ab26efe7e3a7ea8ac)

HowtoMunin.md

@@ -123,7 +123,7 @@ sudo -u munin -- /usr/bin/munin-cron
 Dans le firewall du master, il faut ouvrir le port 4949 en sortie :
 
 ~~~
-/sbin/iptables -A INPUT -p tcp --sport 4949 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
+/sbin/iptables -A INPUT -p tcp --sport 4949 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
 ~~~
 
 ## Configuration sous OpenBSD

HowtoNetfilter.md

@@ -202,12 +202,12 @@ Quelques fonctions shell sont disponibles :
 # * is_proxy_enabled: returns true if Proxy mode is enabled , or false
 ~~~
 
-* Pour autoriser toutes les requêtes en sortie vers le port 80 en IPv6 : `ip6tables -A INPUT -i $INT -p tcp --sport 80 --match state --state ESTABLISHED,RELATED -j ACCEPT`
-* Pour autoriser en sortie vers le port 636 d'un serveur extérieur : `iptables -A INPUT -p tcp --sport 636 --dport 1024:65535 -s ssl.evolix.net -m state --state ESTABLISHED,RELATED -j ACCEPT`
+* Pour autoriser toutes les requêtes en sortie vers le port 80 en IPv6 : `ip6tables -A INPUT -i $INT -p tcp --sport 80 --match state --state ESTABLISHED -j ACCEPT`
+* Pour autoriser en sortie vers le port 636 d'un serveur extérieur : `iptables -A INPUT -p tcp --sport 636 --dport 1024:65535 -s ssl.evolix.net -m state --state ESTABLISHED -j ACCEPT`
 
 > *Note* : pour autoriser un port en entrée, on n'utilisera pas de règle spécifique mais les variables dédiées dans la configuration principale
 
-> *Note* : pour autoriser un port en sortie, la règle à ajouter paraît contre-intuitive car les paquets en sortie sont déjà tous autorisés (sauf en UDP) : on autorise en fait les paquets de retour (`INPUT`) qui correspondent à des paquets déjà émis en sortie (`--state ESTABLISHED,RELATED`)
+> *Note* : pour autoriser un port en sortie, la règle à ajouter paraît contre-intuitive car les paquets en sortie sont déjà tous autorisés (sauf en UDP) : on autorise en fait les paquets de retour (`INPUT`) qui correspondent à des paquets déjà émis en sortie (`--state ESTABLISHED`)
 
 ### IPv6
 
@@ -239,16 +239,16 @@ SWARM_INT=eno10
 ## Pour chaque autre serveur de la Swarm (192.0.2.11, 192.0.2.12…) :
 NODE_IP=192.0.2.11
 /sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --dport 2377 -m comment --comment "Allow incomming docker swarm (management TCP) from ${NODE_IP}" -j ACCEPT
-/sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --sport 2377 -m state --state ESTABLISHED,RELATED -m comment --comment "Allow outgoing docker swarm (management TCP) to ${NODE_IP}" -j ACCEPT
+/sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --sport 2377 -m state --state ESTABLISHED -m comment --comment "Allow outgoing docker swarm (management TCP) to ${NODE_IP}" -j ACCEPT
 
 /sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --dport 7946 -m comment --comment "Allow incomming docker swarm (inter-node TCP) from ${NODE_IP}" -j ACCEPT
-/sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --sport 7946 -m state --state ESTABLISHED,RELATED -m comment --comment "Allow outgoing docker swarm (inter-node TCP) to ${NODE_IP}" -j ACCEPT
+/sbin/iptables -I INPUT  -i ${SWARM_INT} -p tcp -s ${NODE_IP} --sport 7946 -m state --state ESTABLISHED -m comment --comment "Allow outgoing docker swarm (inter-node TCP) to ${NODE_IP}" -j ACCEPT
 
 /sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --dport 7946 -m comment --comment "Allow incomming docker swarm (inter-node UDP) from ${NODE_IP}" -j ACCEPT
-/sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --sport 7946 -m state --state ESTABLISHED,RELATED -m comment --comment "Allow outgoing docker swarm (inter-node UDP) to ${NODE_IP}" -j ACCEPT
+/sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --sport 7946 -m state --state ESTABLISHED -m comment --comment "Allow outgoing docker swarm (inter-node UDP) to ${NODE_IP}" -j ACCEPT
 
 /sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --dport 4789 -m comment --comment "Allow incomming docker swarm (network UDP)    from ${NODE_IP}" -j ACCEPT
-/sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --sport 4789 -m state --state ESTABLISHED,RELATED -m comment --comment "Allow outgoing docker swarm (network UDP)    to ${NODE_IP}" -j ACCEPT
+/sbin/iptables -I INPUT  -i ${SWARM_INT} -p udp -s ${NODE_IP} --sport 4789 -m state --state ESTABLISHED -m comment --comment "Allow outgoing docker swarm (network UDP)    to ${NODE_IP}" -j ACCEPT
 
 ## Une seule fois
 /sbin/iptables -I OUTPUT -o ${SWARM_INT} -p udp --dport 4789 -m comment --comment "Allow outgoing docker swarm (network UDP)" -j ACCEPT
@@ -330,7 +330,7 @@ Lorsqu'un serveur dispose de plusieurs interfaces, dont une pour un réseau loca
 Exemple si on a un serveur Munin centralisé, il a besoin de joindre les _munin-node_ :
 
 ~~~
-# iptables -A INPUT -p tcp --sport 4949 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
+# iptables -A INPUT -p tcp --sport 4949 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
 ~~~
 
 ### Redirection du port 80 en sortie vers un proxy local
@@ -345,7 +345,7 @@ Exemple si on a un serveur Munin centralisé, il a besoin de joindre les _munin-
 ### FTP Passif
 
 ~~~
-# iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
+# iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
 ~~~
 
 ### Test des ports TCP
@@ -364,6 +364,6 @@ Escape character is '^]'.
 Si l'on veut tout autoriser en sortie (TCP, UDP), voici la règle à ajouter :
 
 ~~~
-# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
 ~~~
 

HowtoPortKnocking.md

@@ -26,7 +26,7 @@ start_fw()
 	/sbin/iptables -A INPUT -i lo -j ACCEPT
 	/sbin/iptables -A OUTPUT -o lo -j ACCEPT
         #Autoriser en entrée seulement si la connexion précédente à déjà été établie
-	/sbin/iptables -A INPUT  -i $IF_RESEAU --match state --state ESTABLISHED,RELATED -j ACCEPT
+	/sbin/iptables -A INPUT  -i $IF_RESEAU --match state --state ESTABLISHED -j ACCEPT
         #Autoriser l'ICMP
 	/sbin/iptables -A INPUT -p icmp -j ACCEPT
         

HowtoProFTPD.md

@@ -79,15 +79,15 @@ UseIPv6       off
 Sur le firewall côté serveur, il faut ouvrir les ports 20 et 21, et les ports passifs :
 
 ~~~
-iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
+iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
 ~~~
 
 S'il y a également des restrictions côté client (dans le cas d'un serveur voulant accéder en FTP à un autre), il faut autoriser les paquets entrants :
 
 ~~~
-iptables -A INPUT -p tcp --sport 20 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
-iptables -A INPUT -p tcp --sport 21 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
-iptables -A INPUT -p tcp --sport 60000:61000 --dport 1024:65535  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
+iptables -A INPUT -p tcp --sport 20 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
+iptables -A INPUT -p tcp --sport 21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
+iptables -A INPUT -p tcp --sport 60000:61000 --dport 1024:65535  -m state --state NEW,ESTABLISHED -j ACCEPT
 ~~~
 
 
@@ -661,7 +661,7 @@ On la positionne dans une balise `<Directory>` comme ceci :
 En cas d'erreurs d'accès, bien vérifier que les ports 20 et 21 sont ouverts, ainsi que les ports passifs :
 
 ~~~
-iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
+iptables -A INPUT -p tcp --dport 60000:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
 ~~~