Re: script pour lancer iptables

Thu, 11 May 2006 00:44:01 -0700 

Thomas Clavier a écrit :



En sécu, on dit souvent qu'il ne faut pas de choses inutiles ... or 
il y a de nombreuses raisons pour qu'une interface réseau ne se monte 
pas automatiquement au boot, et se retrouver avec une machine 
injoignable en ssh parceque le pilote d'une des cartes n'a pas été 
correctement chargé, c'est pas top.



Quel rapport avec l'utilisation de scripts dans /etc/network/*.d/ et 
dans /etc/ppp/ip-*.d/ ?



avec un script qui fait tout dans /etc/init.d/ les règles sont 
systématiquement chargés, avec des scripts dans /etc/network/*.d/ et
/etc/ppp/ip-*.d/ les règles sont spécifiques à l'interface et ne sont 
chargé que si l'interface se monte bien.



Certes, et c'est l'intérêt. Mais quel rapport avec l'inaccessibilité en 
SSH ? Si l'interface réseau ne monte pas pour une une raison ou pour une 
autre, la machine sera de toute façon inaccessible, que les règles 
iptables soient chargées ou pas.



Plus vicieux, avoir une machine ouverte sur le net parcequ'il y a une 
nouvelle interface réseau (genre vpn ou ppp1) c'est quand même pas 
génial.


Je ne vois toujours pas le rapport. Merci d'expliquer.



Avec un seul script globale, on fait des hypothèses, genre l'interface 
internet c'est ppp0,



Oui, et c'est mal, car le nom d'une interface PPP est fondamentalement 
dynamique, même s'il y a une option pour le "forcer" mais qui ne 
marchera pas dans le cas que tu évoques plus bas. Toutefois, si on sait 
que pppd ne sert que pour la connexion internet, on peut utiliser le nom 
avec wildcard "ppp+" dans les règles iptables.



or pppd peut par erreur monter un ppp1 (ppp0 à 
planté et le remontage de la connections ppp est plus rapide que la 
destruction de ppp0, pb rencontré il y a quelques années avec la raie 
verte)


En effet, déjà vu aussi.


on se retrouve donc avec des règles firewall sur un ppp0 qui 
n'existe plus et pas de règles sur ppp1 :-(



En effet. Mais je ne vois toujours pas en quoi cela rendrait la machine 
"ouverte", comme tu le disais. La politique de filtrage par défaut étant 
DROP (n'est-ce pas ;-) ?), tout le trafic sur une interface non prévue 
dans les règles statiques serait bloqué. C'est gênant pour la 
connectivité, mais la sécurité n'est pas compromise.



--
Lisez la FAQ de la liste avant de poser une question :

http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]























					Répondre à