Trop parano avec iptables ?

Top Page

Reply to this message
Author: Olivier_Allard-Jacquin
Date:  
To: guilde
Subject: Trop parano avec iptables ?
Bonjour,


        j'ai une petite question de configuration de Netfilter, et je me 
demande
si je suis trop parano (mais en terme de sécurité informatique, ne l'est 
on
jamais trop ?).


Configuation: 
        - PC équipé d'un kernel 2.4
        - connexion internet via ppp0
        - connexion reseau via eth0 IP/port: 192.168.1.1/255.255.255.0


Au début de mon script de configuration de netfilter, j'ai écrit ceci:

<script>
# Suppression de toutes les chaines
iptables -F
iptables -X

# Polices par défaut: Tout est refusé
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Accepte toutes les connexions sur le loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

[Le reste n'est pas important pour la question]
</script>

        Ce sont ces 2 dernières regles iptables qui me gêne. J'ai un bon
nombre de démons qui tournent sur le loopback(*) (postfix, proftpd, samba,
etc ...), que ce soit pour de l'utilisation courante ou pour faire du 
test.


(*) J'ai configuré ces démons pour qu'il ne répondent qu'aux requètes
venant
de 127.0.0.0/255.255.255.0 et/ou uniquement sur l'interface ppp0
(parametre "bind interface" lorsque c'est possible)

        Est-ce que ces règles ne sont pas trop permitives, et n'y a t'il 
pas
un risque qu'un "vilain" venant de la connexion Internet (ppp0), puisse 
par
quelques magouilles obscures "remonter" la couche réseau et rentrent par
l'interface loopback ("-i lo") ? Cela me paraît un peu tiré par les 
cheveux,
mais bon ...


        Est-ce qu'il ne vaudrait pas mieux écrire des rêgles beaucoup
plus restricives, du genre:
<script>
iptables -A INPUT  -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT  -i lo -s 192.168.1.1/255.255.255.0 -j ACCEPT
iptables -A OUTPUT -o lo -d 192.168.1.1/255.255.255.0 -j ACCEPT
</script>


        Mais est-ce la faire preuve d'une parano excessive ? Ou
les précédentes règles sont elles assez restricites ? Le fait de
limiter les accès via les parametres "-i lo / -o lo" est il suffisant ?



        D'un autre coté, je suis parfaitement d'accord que des rêgles de 
type:
<script>
iptables -A INPUT  -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT  -s 192.168.1.1/255.255.255.0 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1/255.255.255.0 -j ACCEPT
</script>


ne sont pas adaptés, et qu'il y a un risque important vis à vis de
l'ip spoofing

        Merci de vos lumières sur ce sujet ...


                                        Olivier