Jean-Michel OLTRA a écrit : > > Il est parfois possible, dans la configuration du service, de spécifier > une interface ou adresse sur laquelle le service écoute.
Malheureusement c'est quasiment toujours l'adresse, et pas l'interface. Même quand on spécifie une interface dans la configuration, en pratique cela revient à spécifier "l'adresse de cette interface". Or le modèle d'hôte "faible" (weak host model) appliqué par Linux permet d'utiliser l'adresse d'une interface sur n'importe quelle autre interface. On peut compter sur des effets de bords pour assurer la restriction (par exemple l'adresse n'est pas censée être routable depuis l'extérieur), mais cela revient à compter sur quelqu'un d'autre pour assurer sa sécurité. Certains services permettent aussi de spécifier les adresses sources autorisées, directement ou via le wrapper tcpd et /etc/host.allow|deny. Au final, gérer globalement les autorisations via iptables est généralement plus radical (vraie gestion par interface réseau) et plus simple (toutes les autorisations d'accès centralisées au même endroit et gérées de la même façon).
