On Thu, 14 Jun 2001, hatim wrote:
> et 1.5.6.7 a acceder au port 22 , je souhaiterai autoriser tous les gens
> dont la resolution de noms de leur ip est du genre *.mondomaine.org
Int�ressant. Donc, le kernel, � chaque paquet traversant le firewall, va
devoir faire une requ�te DNS ? Bien s�r qu'il pourrait cacher les
r�sultats, mais je trouve quand m�me que c'est un peu lourd pour quelque
chose qui doit pouvoir traiter des m�gapaquets/seconde, tout en gardant la
g�n�ralit� (si *.mondomaine.org est statique, c'est trivial: faire un
script d'insertion de toutes les adresses).
Il existe cependant une solution, ant�rieure au firewalling, d'ailleurs:
les tcp wrappers. On peut configurer un certain nombres de services pour
utiliser les tcp wrappers: notamment tous les services TCP (== stream)
d'inetd, ainsi que certains programmes comme sshd.
Extrait de man sshd (OpenSSH):
/etc/hosts.allow, /etc/hosts.deny
If compiled with LIBWRAP support, tcp-wrappers access controls
may be defined here as described in hosts_access(5).
cf le man 5 hosts_access (depuis KDE: ALT-F2, puis man:hosts_access(5)).
(en th�orie cela fonctionne aussi avec des adresses textuelles, m�me si je
n'ai pas v�rifi� cela).
PS: utiliser des noms au lieu d'adresses IP rend possibles des attaques de
type `DNS spoofing', `DNS cache poisonning' -- d�conseill�.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
