Re: sos shorewall/iptables

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: guilde
題目: Re: sos shorewall/iptables
    Bonsoir Sylvain,

sylvain letuffe a écrit :
>> iptables -F
>> iptables -X
>> iptables -P INPUT ACCEPT
>> iptables -P OUTPUT ACCEPT
>> iptables -P FORWARD ACCEPT
>>
>> et ensuite, histoire de voir, j'ai voulu refaire la même manip moi-même.
>> Mais le iptables -F a apparemment supprimé l'effet des ACCEPT et je me
>> suis re-retrouvé dehors ! Doit y avoir qqpart un paramétrage disant
>> si, en l'absence de règles, le défaut est ACCEPT ou DROP...
>
> exact !
>
> c'est justement le rôle du "-P", quand tu écris un script de firewall, tu peux
> définir un comportement "si aucune règle ne correspond"
>
> en faisant au choix :
> iptables -P INPUT ACCEPT
> ou
> iptables -P INPUT DROP
>
> personnellement je recommande grandement la solution 1), justement pour la
> raison qui fait que iptables -F ré-ouvre tout alors que dans le cas 2) un
> iptables -F bloque tout !


[...]

    Tu recommandes de laisser tout passser par défaut ? C'est super
dangereux comme technique !


    A moins que la dernière règle de ton script de FW soit quelque chose
comme :
    iptables -A INPUT -j DROP
la technique que tu proposes possède, à mon sens, tout les désavantages :
- impossible d'éviter le port scanning, à moins de mettre des règles qui
filtres tout les ports, y compris ceux non-utilisés :
    iptables -A INPUT -p tcp --dport xxxx-yyyyy -j DROP
- multiplication des règles iptables. Je te rappelle que les
performances de la couche réseau sont dépendantes du nombre de règles
iptables parcourues


    Personnellement, et je ne suis pas le seul, je préfère la politique du
"par défaut, tout est fermé sauf quelques trous", plutôt que celle du
"tout est ouvert, mais je colmate les trous un à un".


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!