Auteur: Francois-Xavier Kowalski Date: À: Grand-Pas CC: guilde Sujet: Re: MORT DE RIRE !!!
Grand-Pas wrote:
>On Thu, Mar 06, 2003 at 11:45:03PM +0100, Francois-Xavier Kowalski wrote:
>
>
>>J'avais tellement bien ferme mon firewall maison, que mes mails
>>sortants.. ne sortaient plus!
>>
>>En effet, il semble que wanadoo utilise des adresses IP migrantes pour
>>smtp.wanadoo.fr. Le jour ou j'ai realise le parametrage, j'avais
>>l'adresse unique:
>>
>>
>bien joué ; je me demandais pourquoi mon firewall me refusait le fetchmail..
>en mettant le nom d'host plutot que l'ip (pop) dans les règles de firewalling
>ca marche.
>
La page de man de iptables indique en *GROS* que mettre un hostname a la
place d'une IP est une tres mauvaise idee. Je suis d'accord avec leur
remarque: Le risque est que chaque paquet IP qui transite par Netfilter
requiert une resolution DNS pour confirmer ou infirmer la regle...
Cela risque de ralentir considerablement la machine. Evidement, il y a
probablement un systeme de caches de nom en user-space (nscd, en option)
mais je ne suis pas sur qu'il soit disponible pour utilisation par
Netfilter...
Ce que j'ai fait: autorisation de toute connection sortante vers le port
25 dans le reseau 193.0.0.0/8. Pas optimal, mais sans avoir d'infos de
FTI sur le devenir et/ou les plans de changement d'adresse de leur SMTP,
je ne vois pas comment faire autrement... :-(
>conclusion : ils ont fait le meme truc pour le pop que pour le smtp.
>
J'en prends bonne note & verifie de ce pas que je n'ai pas (aussi) mis
en dur l'addresse pop...
>encore bravo, je n'avais pas trouvé.
>
Passer du temps a repondre a des questions qui sont de mon ressort
(noyau)... et ne rien voir arriver sur la liste, m'a passablement enerve :-)