Re: script pour lancer iptables
Mercredi 10 mai 2006, 18:46:42 CEST, Pascal Hambourg a écrit :
>
> Salut,
'lut,
>[...]
> Thomas Clavier a écrit :
> > En sécu, on dit souvent qu'il ne faut pas de choses inutiles ... or
> > il y a de nombreuses raisons pour qu'une interface réseau ne se monte
> > pas automatiquement au boot, et se retrouver avec une machine
> > injoignable en ssh parceque le pilote d'une des cartes n'a pas été
> > correctement chargé, c'est pas top.
>
> Quel rapport avec l'utilisation de scripts dans /etc/network/*.d/ et
> dans /etc/ppp/ip-*.d/ ?
Je pense que Thomas voulait parler du fait que les scripts
dans /etc/*/*.d ne sont lancés qu'après la réussite de la configuration
des interfaces.
On risque donc d'avoir des règles iptables générales qui ne seraient
pas activées si elles sont reliées à la configuration particulière d'une
interface (plutôt dans /etc/ppp/*.d, puisque les scripts
dans /etc/network/*.d servent pour toutes).
Mais, si c'est ppp qui connecte à l'internet, que les règles de filtrage
concernant l'internet soient dans /etc/ppp/ip-up.d ne pose aucun problème
puisque si ppp0 ne se configure pas, il n'y a pas d'accès à/depuis
l'extérieur donc pas besoin de filtre.
Donc si les règles sont bien liées aux bonnes interfaces, c'est plutôt
propre.
>[...]
--
Sylvain Sauvage
Reply to: