> Je trouve les nouvelles regles d'iptable sont incompleten, � moins que j'ai > oubli�e un detail.
Sans avoir lu ton mail, j'aurais tendance � r�pondre : il est probable qu'effectivement tu aies oubli� un d�tail : apr�s avoir utilis� IPchains, j'ai �norm�ment appr�ci� le passage � IPtables (sans �tre un kador dans ce domaine) > C'est � dire que si un paquet est destin� pour un forward, il ne passe ni > dans la chaine INPUT, ni dans la chaine OUTPUT. Oui > Par exemple > dans ce cas, imaginons qu'un cheval de troie ou diverses variante veullent > se connecter d'une machine du reseau (contamin�) vers l'exterieur port 1234 > par exemple. > Avec ipchains il suffisait de faire > ipchains -A OUTPUT -p tcp --dport 1234 -j DENY > Quet c'etait un forward ou un input la regles empecher le paquet > tandis que sous iptables il est impossible d'executer cette chaine dans le > reseau local � l'exception du firewall lui meme. ??? Je ne comprends pas. OUTPUT concerne le FW lui m�me, FORWARD les paquets "masquerad�s" (le cas le plus fr�quent). > j'en deduit donc qu'avec iptables les regles seront redondante � moins de > faire comme ci dessous. Non. Car le filtrage du r�seau derri�re le FW n'est pas la m�me chose que le filtrage lui-m�me. Si tu veux bloquer tous les Back-Orrifice (exemple) "sortant", il faut non seulement les bloquer en FORWARD, mais aussi en OUTPUT (l'exemple est d�bile vu que Linux ne craint pas grand chose face � BO, mais bon...) Cela me semble assez coh�rent de mettre en place des r�gles de filtrage, d'un cot� pour ton r�seau interne, de l'autre pour le FW lui m�me. > Donc je voudrais savoir si les nouvelles regles ne remete pas en cause la > s�curit� et sa facon de l'administrer. Car jusqu'a present je trouvais > l'administration d'ipchains relativement simple (simplicit� > d'administration). Puisque que tu as l'air d'avoir pas mal potass� la doc, je suis �tonn� que tu n'aies pas remarqu� que le fait qu'IPtables soit "Statefull" permet de simplifier ENORMEMENT les r�gles de filtrage, et de faire des trucs "sympas" beaucoup plus �l�gamment qu'avec IPchains (FTP, port fowarding, masquerading, notamment) Personnellement j'ai pass� ma patate en 2.4 pour cette seule raison. Amaury
