| Re: [LA-discussions] Iptables - LDAP |
[ Thread Index |
Date Index
| More linuxarverne.org/discussions Archives
]
- To: discussions@xxxxxxxxxxxxxxxx
- Subject: Re: [LA-discussions] Iptables - LDAP
- From: jean-luc boutin <jeanlucboutin@xxxxxxxxx>
- Date: Sat, 09 Jan 2010 18:47:09 +0100
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=4grgg4wNkxUBb/RIBZ2sSaC4kRuAneAX8h9ni5DvY7E=; b=YaS6VcP7biiHf3ytfPSOx4bhujjyjZX1Lpqqn8Ni0d2edW6FTlWgL4jgZGrrcrUa34 Y16JJ0eioKjPMc4vCf/PzXd9upAeQgfKxG2s5IggRva6iUC5gnbgLPOH0geG6hzFpzmH pFycqvvPkdr8v3nMBSZizNbg5mox+oVc9tig4=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=e+qaF1WZq45TisqQFQv84+lQnRoNhEOltalXmixY7DOa9XsAbPlI1zWOA8TdsNe2YJ 1Y8wn/2CU9kFbMB1va/00oTWACvw13Izvi5lRZ/f5rVC4cxAQ+BRsksFyWJUkm3j0nv5 adSkML/ZTT6bSbXzvmNYt+l+U/KUq0m0+K4rc=
KewlCat a écrit :
jean-luc boutin wrote:
KewlCat a écrit :
Matthieu wrote:
Quelle est donc l'ordre préconisé ?
Pour le moment j'ai mis les règles les plus vastes en 1er
(interface lo, intranet,...).
D'habitude on met les règles les plus précises en premier puis des
règles de plus en plus générales pour finir soit par une dernière
règle qui gère le cas "par défaut" soit par "pas de règle du tout"
parce que le cas général est géré par la "policy" (dans ton cas, DROP)
sans vouloir polémiquer je trouve plus logique de commencer dans un
parefeu par les règles qui rejettent tout pour autoriser ensuite
précisement les services dont on a besoin. Mais bon, ce n'est qu'un
principe général qu'il paraît bon d'appliquer si l'on s'inquiète de
la sécurité.
Si tu commences tes chaînes iptables par une règle qui rejette tout (
-j REJECT ou -j DROP ) tu auras beau ajouter des règles après, elles
ne seront jamais évaluées !
Ou alors j'ai mal compris ce que tu tentes de faire...
Dans le cas présent, la "policy" est de tout rejeter (donc tout ce qui
n'aura pas été explicitement accepté par des règles se verra refusé en
fin de chaîne). C'est le principe d'une whitelist. Si j'interprète
"commencer par les règles qui rejettent tout" comme étant des règles
qui rejettent certaines choses, alors tu utilises plutôt une
blacklist... mais ça contredit le reste, donc je ne comprends pas.
Peux-tu expliquer plus en détail comment tu organises tes chaînes
Désolé j'ai répondu un peu vite et me suis assez mal exprimé. Je voulais
simplement parler d'un principe général pour penser les règles du
pare-feu. 1) Considérer que l'on ne veut d'abord rien puis 2) autoriser
précisément ce que l'on veut (j'insiste sur le précisément) dans la
mesure ou une fois qu'un packet est accepté ou rejeté plus aucune règle
ne sera efficace.
en général dans l'ordre on accepte tout en loopback, (ACCEPT all lo any
anywhere anywhere)
on accepte tout ce qui est RELATED,ESTABLISHED (ACCEPT ALL any any
anywhere anywhere state RELATED, ESTABLISHED)
puis les services que l'on veut explicitement autoriser ssh www (ACCEPT
TCP any any anywhere anywhere tcp dpt:ssh.....
etc... pour finir par rejeter tout le reste. (DROP all any any anywhere
anywhere)
c'est bien sûr un schema très général (on peut préciser des interfaces
des adresses source des adresses de destination)
iptables ?
---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion
---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion