Re: sos shorewall/iptables

Top Page

Reply to this message
Author: sylvain letuffe
Date:  
To: guilde
Subject: Re: sos shorewall/iptables

>     Tu recommandes de laisser tout passser par défaut ? C'est super
> dangereux comme technique !


pas si :

>     A moins que la dernière règle de ton script de FW soit quelque chose
> comme :
>     iptables -A INPUT -j DROP

a)
exactement ;-)

je dépense une règle de plus dans chaque chaîne ( soit 3 règles au total )
mais ça me permet de faire un debug plus rapide des problèmes de firewalling.

genre, le ftp ne répond pas, je coupe le firewall ( iptables -F ) je re-test,
tiens non ça marche toujours pas, c'est donc pas le firewall, je relance le
script.

Au final la méthodologie me semble très similiaire à mettre une policy DROP,
la chose qui change c'est :
iptables -F

dans un cas ça ouvre tout, au secours je veux rentrer dans mon serveur !
dans l'autre ça coupe tous les accès, plus personne ne rentre.

ce n'est qu'une question de choix, mais l'expérience m'a appris que c'était
toujours plus rapide à faire un iptables -F que de fouiller toute la distrib
( d'un copain/client/...) à la recherche du script qui est sensé coupé le
firewall, surtout quand on est dans le train avec un portable...
et que le copain/client content d'avoir lu le man de iptables est tout heureux
de prendre l'initiative de balancer un iptables -F à 400km de son serveur
alors que la policy était DROP.
Souvenirs souvenirs...
( et je dis pas ça pour l'initiateur du thread ;-))))) )

(...) je réponds pas au reste car a)

> Je te rappelle que les
> performances de la couche réseau sont dépendantes du nombre de règles
> iptables parcourues


d'ailleurs à ce propos, pour ceux que ça intéresse et qu'ils sont parvenus
jusque là,
iptables peut en effet être très gourmand en CPU

je tempère tout de même en disant que tant que le flux traité est <5Mbit/s
et nombre de règle <50 tout roule sur un 1GHZ

par contre, j'ai monté un firewall qui traitait un flux de 10Mbit/s et qui
fournissait des stats (iptables+rrdtools) à l'aide d'environ 400 règles et là
ça devient dur !
de 1 à 1.5 de charge quasi permanente sur un 2GHZ

voilà pour un petit partage d'expé sur les joies du firewalling


--


Sylvain Letuffe, Société GPLservice

Hébergement, nom de domaine, développement logiciel,
services de maintenance informatique.
web : http://www.gplservice.fr

Tel : 04 79 33 08 74               Fax : 04 79 70 81 97
adresse : 20 av des ducs de Savoie 73000 Chambéry