Re: Firewall (etait: Re: Messages de broadcast samba)

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: Guilde Mailing list
Subject: Re: Firewall (etait: Re: Messages de broadcast samba)
    Salut Vincent,

Riquer Vincent (#343341) a écrit :
> Olivier Allard-Jacquin wrote:
>
>>>    En terme de règle de firewall, j'utilise la technique du "tout ce qui
>>>n'est pas dûment autorisé est interdit". Les règles ci-dessus permettent
>>>de laisser passer les paquets "légaux", et donc tout le reste est DROPé.
>>>C'est le cas justement pour ces paquets Samba qui sont envoyés sur la
>>>mauvaise interface : Ils sont DROPés par la politique par défaut en
>>>OUTPUT de netfilter : "iptables -P OUTPUT DROP"

>
>
> tout a fait, par contre la je suis en train d'utiliser ton script


    Lequel ? Il y en a plusieurs ! :))


> pour
> créer les regles de base d'un firewall en netboot avec root sur NFS, et
> forcement j'ai eu des problemes avec ce
> # iptables -P {INPUT,OUTPUT} DROP
> car celui ci etait fait au debut du script -> ciao le NFS... blocage de
> la machine (logique).
> En remplacant par
> # iptables -P {INPUT,OUTPUT} ACCEPT
> et en remettant a DROP A LA FIN du script, c'est bien mieux, ça évite a
> la machine de se couper les pattes puis de se demander pourquoi elle ne
> peut plus marcher ;)
>
> Un PC c'est tellement bete que ca fait tout ce qu'on lui dit de faire,
> meme quand c'est stupide ;)


    C'est bien la politique par défaut ("iptables -P ) que tu mets à DROP
en fin de ton script ? Et non pas que tu rajoutes une règle
supplémentaire, du genre :
    iptables -A INPUT -j DROP
    iptables -A OUTPUT -j DROP


    La première technique ne pose pas trop de soucis, si ce n'est que ta
machine est exposée quelques (fractions de ?) secondes lors du boot. La
seconde technique est nettement plus critiquable, vu que toute la
sécurité de la machine repose sur les dernière règles. Et un coup de
"iptables -D {INPUT,OUTPUT} numéro_de_la_dernière_règle" accidentel
mettre la machine à nue. :=(


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
      /   / \  / \   \   Web:  http://olivieraj.free.fr/
     /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!