On Wed, Feb 06, 2002 at 02:42:50PM +0100, Amaury AL wrote: > > Je trouve les nouvelles regles d'iptable sont incompleten, � moins que j'ai > > oubli�e un detail. > > > C'est � dire que si un paquet est destin� pour un forward, il ne passe ni > > dans la chaine INPUT, ni dans la chaine OUTPUT. > > Oui > > > dans ce cas, imaginons qu'un cheval de troie ou diverses variante veullent > > se connecter d'une machine du reseau (contamin�) vers l'exterieur port 1234 > > par exemple. > > Avec ipchains il suffisait de faire > > ipchains -A OUTPUT -p tcp --dport 1234 -j DENY > > Quet c'etait un forward ou un input la regles empecher le paquet > > > tandis que sous iptables il est impossible d'executer cette chaine dans le > > reseau local � l'exception du firewall lui meme. > > ??? > Je ne comprends pas. OUTPUT concerne le FW lui m�me, FORWARD les paquets > "masquerad�s" (le cas le plus fr�quent).
Je sais mais cela fonctionn� tres biens avec ipchains (je dis pas qu'il faut garder) > > j'en deduit donc qu'avec iptables les regles seront redondante � moins de > > faire comme ci dessous. > > Non. Car le filtrage du r�seau derri�re le FW n'est pas la m�me chose que le > filtrage lui-m�me. Pas si sur que ca, mais au fond tu as quand meme raison. mais dans le cas ou tu d�sire appliquer les meme regles pour ton firewall et ton MASQ, c'est un peux embetant, du moins redondant, chose qui marchais tres biens avec ipchains(bis :) > > Si tu veux bloquer tous les Back-Orrifice (exemple) "sortant", il faut non > seulement les bloquer en FORWARD, mais aussi en OUTPUT (l'exemple est d�bile > vu que Linux ne craint pas grand chose face � BO, mais bon...) c'est bien ce que je disais dans le mail precedent, c'est redondant. Mais je pense que ca doit pourvoir se contourner avec les regles cit� dans le mail pr�c�dents ? Ca fait exactement ce que tu dis. En gros la chaine PREOUTPUT simule le passage � la chaine OUTPUT apres un forward > > Cela me semble assez coh�rent de mettre en place des r�gles de filtrage, d'un > cot� pour ton r�seau interne, de l'autre pour le FW lui m�me. Sauf, si tu veux appliquer des regles pour les deux. > Puisque que tu as l'air d'avoir pas mal potass� la doc, je suis �tonn� que tu > n'aies pas remarqu� que le fait qu'IPtables soit "Statefull" permet de > simplifier ENORMEMENT les r�gles de filtrage, et de faire des trucs "sympas" > beaucoup plus �l�gamment qu'avec IPchains (FTP, port fowarding, masquerading, > notamment) c'est clair qu'hormis le probleme que je cite, iptables est franchement meilleur qu'ipchains, y'a rien � redire. M'ai j'avous que je suis �tonn�e que l'auteur ne traite pas la partie input lorsque il y'a un forward, donc du coup il faut que je change ma facon de faire le firewall. > Personnellement j'ai pass� ma patate en 2.4 pour cette seule raison. idem, dans le cas de mon firewall, c'est la seule raison de passer en woody, car effectivement la patate tourne top moumoute. Bruno > > Amaury > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Bruno Adele Tout sur le soft 100% libre - http://www.jesuislibre.org GPG: 1024D/6BF76699 : B112 F8F0 08CD C8E0 C77C 7C10 51CC 6CB8 6BF7 6699
