著者: Francois-Xavier Kowalski 日付: To: benoit CC: guilde 題目: Re: MORT DE RIRE !!!
benoit wrote:
>On Fri, Mar 07, 2003 at 12:53:53AM +0100, Francois-Xavier Kowalski wrote:
>
>
>>La page de man de iptables indique en *GROS* que mettre un hostname a la
>>place d'une IP est une tres mauvaise idee. Je suis d'accord avec leur
>>remarque: Le risque est que chaque paquet IP qui transite par Netfilter
>>requiert une resolution DNS pour confirmer ou infirmer la regle...
>>
>>
>
>
>j'avais pose la question au mainteneur (je crois) d'iptables aux
>journees du libre a bordeaux l'an dernier.
>il n'y a pas de resolution dns pour chaque paquet (heureusement !),
>seulement une lors de l'insertion de la regle.
>
Merci de la precision. La resoltion DNS permanente, ca faisait un peu
gros quand meme... :-)
Cela signifie donc qu'un systeme passerelle qui reste en ligne & utilise
SMTP de wanadoo va devoir refraichir ses regles periodiquement, histoire
de ne pas se faire semer...
>donner un nom de domaine a la place d'une ip est dangereux car en cas de
>dns-spoofing la config du firewall devient imprevisible.
>
Comment un DNS-spoofing est-il possible? C'est une extension
sophistiquee de l'IP-spoofing?