Re: iptables

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: GUILDE
Sujet: Re: iptables
    Hello Patrice,

Patrice Karatchentzeff wrote:
> Olivier Allard-Jacquin écrivait :
>
> [...]
>
>  >     Tu te fais attaquer un serveur NFS ? Tu partages un serveur NFS sur 
>  > Internet ?

>
> non mais mon port est ouvert... Par défaut, je faisais confiance au
> paquet Debian... et à l'équipe Debian-security. Jusqu'à présent, cela
> m'a permis de passer à travers. Mais bon, rien n'empêche d'ajouter une
> paire de bretelles ;-)


    La rêgle numéro 1 dans ce type de boulot n'est elle pas de ne jamais 
faire confiance a autruis ?


>  >     A moins que tu n'en n'ai réellement besoin, ce que je doute car NFS 
>  > n'est pas fait pour être utilisé à travers Internet, je te suggère de 
>  > configurer ton démon NFS pour qu'il n'écoute pas l'interface Internet. 
>  > Cela peut commence par exemple à restreindre l'écoute de portmap aux 
>  > interfaces locales (127.0.0.1 et 192.168.0.1 pour mon exemple ci-dessous):

> >
>  > /etc/hosts.deny :
>  >     portmap: ALL

> >
>  > /etc/hosts.allow
>  >     portmap: 127.0.0.0/8
>  >     portmap: 192.168.0.1/24

>
> Tu ne configures pas le daemon NFS : tu l'empêches de faire son boulot
> grâce au système :-)


    J'empèche surtout des indésirable d'aller lui parler. Mais si tu veux 
une solution plus efficace, il y a le /etc/exports (man exports). 
Notament grace aux restrictions d'IP et de domaine :


(extrait du "man export")
EXEMPLE
        # fichier /etc/exports d'exemple
        /projects       proj*.local.domain(rw)
                        ^^^^^^^^^^^^^^^^^^
        /usr            *.local.domain(ro) @trusted(rw)
                        ^^^^^^^^^^^^^^
        /home/joe       pc001(rw,all_squash,anonuid=150,anongid=100)
                        ^^^^^



> >
> > J'en parle longuement dans la 1ère partie de ma doc :
> >
> > http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html
>
> Oui, j'ai commencé à potasser ta doc : très intéressante. Je vais m'en
> inspirer certainement beaucoup.


    Je t'en prie, c'est fait pour !


    A plus,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!