Re: Firewall ipchains VS iptables
On Wed, Feb 06, 2002 at 02:42:50PM +0100, Amaury AL wrote:
> > Je trouve les nouvelles regles d'iptable sont incompleten, à moins que j'ai
> > oubliée un detail.
>
> > C'est à dire que si un paquet est destiné pour un forward, il ne passe ni
> > dans la chaine INPUT, ni dans la chaine OUTPUT.
>
> Oui
>
> > dans ce cas, imaginons qu'un cheval de troie ou diverses variante veullent
> > se connecter d'une machine du reseau (contaminé) vers l'exterieur port 1234
> > par exemple.
> > Avec ipchains il suffisait de faire
> > ipchains -A OUTPUT -p tcp --dport 1234 -j DENY
> > Quet c'etait un forward ou un input la regles empecher le paquet
>
> > tandis que sous iptables il est impossible d'executer cette chaine dans le
> > reseau local à l'exception du firewall lui meme.
>
> ???
> Je ne comprends pas. OUTPUT concerne le FW lui même, FORWARD les paquets
> "masqueradés" (le cas le plus fréquent).
Je sais mais cela fonctionné tres biens avec ipchains (je dis pas qu'il faut
garder)
> > j'en deduit donc qu'avec iptables les regles seront redondante à moins de
> > faire comme ci dessous.
>
> Non. Car le filtrage du réseau derrière le FW n'est pas la même chose que le
> filtrage lui-même.
Pas si sur que ca, mais au fond tu as quand meme raison. mais dans le cas
ou tu désire appliquer les meme regles pour ton firewall et ton MASQ, c'est
un peux embetant, du moins redondant, chose qui marchais tres biens avec
ipchains(bis :)
>
> Si tu veux bloquer tous les Back-Orrifice (exemple) "sortant", il faut non
> seulement les bloquer en FORWARD, mais aussi en OUTPUT (l'exemple est débile
> vu que Linux ne craint pas grand chose face à BO, mais bon...)
c'est bien ce que je disais dans le mail precedent, c'est redondant.
Mais je pense que ca doit pourvoir se contourner avec les regles cité dans
le mail précédents ? Ca fait exactement ce que tu dis.
En gros la chaine PREOUTPUT simule le passage à la chaine OUTPUT apres un forward
>
> Cela me semble assez cohérent de mettre en place des règles de filtrage, d'un
> coté pour ton réseau interne, de l'autre pour le FW lui même.
Sauf, si tu veux appliquer des regles pour les deux.
> Puisque que tu as l'air d'avoir pas mal potassé la doc, je suis étonné que tu
> n'aies pas remarqué que le fait qu'IPtables soit "Statefull" permet de
> simplifier ENORMEMENT les règles de filtrage, et de faire des trucs "sympas"
> beaucoup plus élégamment qu'avec IPchains (FTP, port fowarding, masquerading,
> notamment)
c'est clair qu'hormis le probleme que je cite, iptables est franchement meilleur
qu'ipchains, y'a rien à redire.
M'ai j'avous que je suis étonnée que l'auteur ne traite pas la partie input
lorsque il y'a un forward, donc du coup il faut que je change ma facon de faire
le firewall.
> Personnellement j'ai passé ma patate en 2.4 pour cette seule raison.
idem, dans le cas de mon firewall, c'est la seule raison de passer en woody,
car effectivement la patate tourne top moumoute.
Bruno
>
> Amaury
>
>
> --
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
--
Bruno Adele
Tout sur le soft 100% libre - http://www.jesuislibre.org
GPG: 1024D/6BF76699 : B112 F8F0 08CD C8E0 C77C 7C10 51CC 6CB8 6BF7 6699
Reply to: