| Re: [LA-discussions] Iptables - LDAP |
[ Thread Index |
Date Index
| More linuxarverne.org/discussions Archives
]
jean-luc boutin wrote:
KewlCat a écrit :
Matthieu wrote:
Quelle est donc l'ordre préconisé ?
Pour le moment j'ai mis les règles les plus vastes en 1er (interface
lo, intranet,...).
D'habitude on met les règles les plus précises en premier puis des
règles de plus en plus générales pour finir soit par une dernière
règle qui gère le cas "par défaut" soit par "pas de règle du tout"
parce que le cas général est géré par la "policy" (dans ton cas, DROP)
sans vouloir polémiquer je trouve plus logique de commencer dans un
parefeu par les règles qui rejettent tout pour autoriser ensuite
précisement les services dont on a besoin. Mais bon, ce n'est qu'un
principe général qu'il paraît bon d'appliquer si l'on s'inquiète de la
sécurité.
Si tu commences tes chaînes iptables par une règle qui rejette tout ( -j
REJECT ou -j DROP ) tu auras beau ajouter des règles après, elles ne
seront jamais évaluées !
Ou alors j'ai mal compris ce que tu tentes de faire...
Dans le cas présent, la "policy" est de tout rejeter (donc tout ce qui
n'aura pas été explicitement accepté par des règles se verra refusé en
fin de chaîne). C'est le principe d'une whitelist. Si j'interprète
"commencer par les règles qui rejettent tout" comme étant des règles
qui rejettent certaines choses, alors tu utilises plutôt une
blacklist... mais ça contredit le reste, donc je ne comprends pas.
Peux-tu expliquer plus en détail comment tu organises tes chaînes iptables ?
---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion