Re: MORT DE RIRE !!!

トップ ページ

このメッセージに返信
著者: Francois-Xavier Kowalski
日付:  
To: benoit
CC: guilde
題目: Re: MORT DE RIRE !!!
benoit wrote:

>On Fri, Mar 07, 2003 at 12:53:53AM +0100, Francois-Xavier Kowalski wrote:
>
>
>>La page de man de iptables indique en *GROS* que mettre un hostname a la
>>place d'une IP est une tres mauvaise idee. Je suis d'accord avec leur
>>remarque: Le risque est que chaque paquet IP qui transite par Netfilter
>>requiert une resolution DNS pour confirmer ou infirmer la regle...
>>
>>
>
>
>j'avais pose la question au mainteneur (je crois) d'iptables aux
>journees du libre a bordeaux l'an dernier.
>il n'y a pas de resolution dns pour chaque paquet (heureusement !),
>seulement une lors de l'insertion de la regle.
>


Merci de la precision. La resoltion DNS permanente, ca faisait un peu
gros quand meme... :-)

Cela signifie donc qu'un systeme passerelle qui reste en ligne & utilise
SMTP de wanadoo va devoir refraichir ses regles periodiquement, histoire
de ne pas se faire semer...

>donner un nom de domaine a la place d'une ip est dangereux car en cas de
>dns-spoofing la config du firewall devient imprevisible.
>


Comment un DNS-spoofing est-il possible? C'est une extension
sophistiquee de l'IP-spoofing?

--
Francois-Xavier 'FiX' KOWALSKI