Re: [LA-discussions] Iptables - LDAP

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]


 jean-luc boutin wrote:
KewlCat a écrit :
 jean-luc boutin wrote:
KewlCat a écrit :
 Matthieu wrote:

Quelle est donc l'ordre préconisé ?

Pour le moment j'ai mis les règles les plus vastes en 1er (interface lo, intranet,...).

D'habitude on met les règles les plus précises en premier puis des règles de plus en plus générales pour finir soit par une dernière règle qui gère le cas "par défaut" soit par "pas de règle du tout" parce que le cas général est géré par la "policy" (dans ton cas, DROP)

sans vouloir polémiquer je trouve plus logique de commencer dans un parefeu par les règles qui rejettent tout pour autoriser ensuite précisement les services dont on a besoin. Mais bon, ce n'est qu'un principe général qu'il paraît bon d'appliquer si l'on s'inquiète de la sécurité.

Si tu commences tes chaînes iptables par une règle qui rejette tout ( -j REJECT ou -j DROP ) tu auras beau ajouter des règles après, elles ne seront jamais évaluées !
Ou alors j'ai mal compris ce que tu tentes de faire...

Dans le cas présent, la "policy" est de tout rejeter (donc tout ce qui n'aura pas été explicitement accepté par des règles se verra refusé en fin de chaîne). C'est le principe d'une whitelist. Si j'interprète "commencer par les règles qui rejettent tout" comme étant des règles qui rejettent certaines choses, alors tu utilises plutôt une blacklist... mais ça contredit le reste, donc je ne comprends pas.
Peux-tu expliquer plus en détail comment tu organises tes chaînes

Désolé j'ai répondu un peu vite et me suis assez mal exprimé. Je voulais simplement parler d'un principe général pour penser les règles du pare-feu. 1) Considérer que l'on ne veut d'abord rien puis 2) autoriser précisément ce que l'on veut (j'insiste sur le précisément) dans la mesure ou une fois qu'un packet est accepté ou rejeté plus aucune règle ne sera efficace.

en général dans l'ordre on accepte tout en loopback, (ACCEPT all lo any anywhere anywhere) on accepte tout ce qui est RELATED,ESTABLISHED (ACCEPT ALL any any anywhere anywhere state RELATED, ESTABLISHED) puis les services que l'on veut explicitement autoriser ssh www (ACCEPT TCP any any anywhere anywhere tcp dpt:ssh..... etc... pour finir par rejeter tout le reste. (DROP all any any anywhere anywhere)

c'est bien sûr un schema très général (on peut préciser des interfaces des adresses source des adresses de destination)

Il n'y a donc pas de polémique, puisque ça correspond à ce qui a été décrit auparavant : policy DROP et "ACCEPT" pour ce qu'on veut laisser passer ;-p

Je crois que la question portait sur l'ordre dans lequel faire apparaître les différentes règles ACCEPT...



---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/