Lacroix francois writes: > >>Dans mon firewall, je drop et ou log tous les packet non desirables. > >>Dans le but de reduire ce traffic inutile, j ai creer une sorte de > >>firewall intelligent. > >>Il lit en temps reele le fichier de log et execute la regle Iptable > >>suivante. > >> > >>iptables -A INPUT -s IP -j DROP > Ok merci pour cette info. Il suffit de remplacer le -A par -I.
Attention tout de m�me aux effets de bord que tu vas introduire avec des -I : Supposons qu'en tant qu'admin tu veuilles te connecter par ssh sur la machine qui a ce firewall 'intelligent', supposons qu'en tant qu'admin consiencieux, tu scannes de temps en temps la machine en question ... Alors, d�s que tu vas faire ton scan, tu vas te retrouver bloqu� par ta machine sans possibilit� de te reconnecter dessus ... Evidemment, il y a une solution : cr�er une chain autre que INPUT (par exemple 'mechants') avec une policy RETURN, puis entre les r�gles qui interessent des machines que tu trust est les r�gles de filtrage pour toutes les autres machines, tu ajoutes dans ta chain INPUT un passage dans la chaine 'mechants' ( un -j mechants). Quand ton analyse de log trouve une IP, tu l'ajoute dans la chain 'mechants' avec un -A ou un -I d'ailleurs, c'est sans importance. Tu trouveras dans la doc d'iptabless comment on fait pour cr�er une chain et lui affecter une policy ... -- Davy Gigan System & Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
