Re: Un truc de fou...

トップ ページ

このメッセージに返信
著者: Patrice Karatchentzeff
日付:  
CC: Guilde Mailing list
題目: Re: Un truc de fou...
Le 21/07/05, Olivier Allard-Jacquin<olivieraj@???> a écrit :

[...]

>         dans la suite du mail, je considérerai que la machine qui fait
> passerelle a :
> - son interface réseau eth0 connectée à la FreeBox
> - son interface réseau eth1 connectée au réseau interne


Parfait : c'est aussi la topo de mon réseau :)

> Patrice Karatchentzeff a écrit :


[...]

>         Je pense que tu parles de
> http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/ ?


Niet : c'est toujours celui de ton exemple du cours. Je n'ai pas eu le
temps de le changer... et comme il me donne satisfaction :)

[...]

> > Et bien, depuis le réseau interne (hors passerelle), je pouvais encore
> > le faire, quelque soit la machine... Il y a là un mystère qui
> > m'échappe... quelqu'un a-t-il une idée de ce qui a pu se passer ?
>
>         Il n'y a la aucun mystère. Le comportement que tu as vu est
> parfaitement normal. Mais cela ne veut pas dire pour autant que les
> script sont des passoires... ;)

>
>         Ce que tu décris s'explique très simplement en lisant ceci
> http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-04.html#III-4-1
> et en regardant plus particulièrement ceci :
> http://olivieraj.free.fr/fr/linux/information/firewall/pictures/filter.jpg

>
>         Comme dit plus haut les règles sur INPUT et OUTPUT NE protègent QUE, je
> dis bien QUE, les PROCESSUS LOCAUX: Clients web ou serveur web. Par
> contre, les paquets passant d'une interface réseau à l'autre ne font QUE
> utiliser la chaîne "FORWARD" de la table "NAT.

>
>         Or, si tu regardes les règles qui sont créées par mes scripts, tu verra
> ceci :

>
> iptables -A FORWARD -i eth0 -o eth1 \
>          -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 \
>          -m state --state ! INVALID -j ACCEPT

>
> Ce qui veut dire que tu autorises les paquets à sortir de ton LAN pour
> aller sur Internet. Et que tu acceptes ceux en retour.
>
>         MAIS, et c'est là ce qui explique le "mystère" : AUCUNE de ces règles
> ne prend en compte ton adresse IP free. Donc ces règles sont
> indépendantes des changement d'adresses IP que tu fais Free.


Bien vu... Je n'avais pas pensé à cela. Autant dire que cela me
rassure car je n'aime pas trop les comportements non compréhensible,
surtout dans le cadre de la sécurité d'un réseau...

Bon, merci pour toutes ces explications. Maintenant, je suis passé sur
IP fixe et cela va me donner moins de boulot...

PK

-- 
      |\      _,,,---,,_       Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:p.karatchentzeff@free.fr
     |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
    '---''(_/--'  `-'\_)