| Re: [LA-discussions] Iptables - LDAP |
[ Thread Index |
Date Index
| More linuxarverne.org/discussions Archives
]
Matthieu wrote:
Quelle est donc l'ordre préconisé ?
Pour le moment j'ai mis les règles les plus vastes en 1er (interface
lo, intranet,...).
D'habitude on met les règles les plus précises en premier puis des
règles de plus en plus générales pour finir soit par une dernière règle
qui gère le cas "par défaut" soit par "pas de règle du tout" parce que
le cas général est géré par la "policy" (dans ton cas, DROP)
Je présume qu'il n'y a pas d'importance pour les différents services
(SSH, Web, FTP), non ?
En effet, ces règles seront indépendantes les unes des autres puisque
les conditions d'application des règles sont telles qu'il est impossible
qu'un paquet corresponde aux deux en même temps (le port de destination
ne peut pas être égal à la fois à 22, 80 et 21.... idem pour les règles
qui gèrent eth0 et celles qui gèrent wlan0, par exemple) ;-)
Et encore une question, quel est la différence entre :
iptables -A OUTPUT -p tcp --dport 636 -j ACCEPT
et
iptables -A OUTPUT -p tcp --dport 636 -m state --state
NEW,RELATED,ETABLISHED -j ACCEPT
La différence c'est qu'il y en a une qui donne explicitement les
différents états (de la connexion correspondante) qui font que le paquet
sera accepté : nouvelle connexion, connexion associée, connexion établie.
La seconde règle laissera donc de côté les paquets correspondant à
l'état INVALID (puisqu'il me semble que c'est le seul qui manque pour le
module "state").
Utiliser le module "state" fait appel aux modules de tracage (?) des
connexions du noyau (nf_conntrack et tous ses potes) c'est à dire qu'au
lieu de se contenter d'appliquer bêtement une règle paquet par paquet,
on considère les paquets qui sont passés avant pour considérer les
dialogues entre machines dans leur globalité (par exemple pour
considérer comme "RELATED" une connexion de données initiée par une
connexion FTP, vu que les données ne seront pas envoyées par la
connexion établie pour envoyer les commandes FTP .... )
Cela reste encore un peu flou pour moi, merci pour ton aide
Pas de quoi ;-)
Apprendre à utiliser iptables n'est pas ce qu'il y a de plus facile,
mais c'est tellement puissant que ça mérite qu'on y consacre du temps.
=^.^=
---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion