Re: [LA-discussions] Iptables - LDAP

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]


KewlCat a écrit :
 Matthieu wrote:

Quelle est donc l'ordre préconisé ?

Pour le moment j'ai mis les règles les plus vastes en 1er (interface lo, intranet,...).

D'habitude on met les règles les plus précises en premier puis des règles de plus en plus générales pour finir soit par une dernière règle qui gère le cas "par défaut" soit par "pas de règle du tout" parce que le cas général est géré par la "policy" (dans ton cas, DROP)

sans vouloir polémiquer je trouve plus logique de commencer dans un parefeu par les règles qui rejettent tout pour autoriser ensuite précisement les services dont on a besoin. Mais bon, ce n'est qu'un principe général qu'il paraît bon d'appliquer si l'on s'inquiète de la sécurité.


Je présume qu'il n'y a pas d'importance pour les différents services (SSH, Web, FTP), non ?


En effet, ces règles seront indépendantes les unes des autres puisque les conditions d'application des règles sont telles qu'il est impossible qu'un paquet corresponde aux deux en même temps (le port de destination ne peut pas être égal à la fois à 22, 80 et 21.... idem pour les règles qui gèrent eth0 et celles qui gèrent wlan0, par exemple) ;-)

Et encore une question, quel est la différence entre :
iptables -A OUTPUT -p tcp --dport 636 -j ACCEPT
et
iptables -A OUTPUT -p tcp --dport 636 -m state --state NEW,RELATED,ETABLISHED -j ACCEPT


La différence c'est qu'il y en a une qui donne explicitement les différents états (de la connexion correspondante) qui font que le paquet sera accepté : nouvelle connexion, connexion associée, connexion établie. La seconde règle laissera donc de côté les paquets correspondant à l'état INVALID (puisqu'il me semble que c'est le seul qui manque pour le module "state"). Utiliser le module "state" fait appel aux modules de tracage (?) des connexions du noyau (nf_conntrack et tous ses potes) c'est à dire qu'au lieu de se contenter d'appliquer bêtement une règle paquet par paquet, on considère les paquets qui sont passés avant pour considérer les dialogues entre machines dans leur globalité (par exemple pour considérer comme "RELATED" une connexion de données initiée par une connexion FTP, vu que les données ne seront pas envoyées par la connexion établie pour envoyer les commandes FTP .... )

Cela reste encore un peu flou pour moi, merci pour ton aide

Pas de quoi ;-)
Apprendre à utiliser iptables n'est pas ce qu'il y a de plus facile, mais c'est tellement puissant que ça mérite qu'on y consacre du temps.

  =^.^=




---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion



---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/