Re: script pour lancer iptables

To: debian-user-french@lists.debian.org
Cc: Debianfr List <debian-user-french@lists.debian.org>
Subject: Re: script pour lancer iptables
From: Thomas Clavier <tom@tcweb.org>
Date: Thu, 11 May 2006 10:39:38 +0200
Message-id: <[🔎] 4462F84A.9050904@tcweb.org>
In-reply-to: <[🔎] 4462F9AE.1080506@plouf.fr.eu.org>
References: <[🔎] 200605011206.36753.colonius@free.fr> <[🔎] 4461D3E6.1030809@tcweb.org> <[🔎] 200605101509.06656.colonius@free.fr> <[🔎] 44620314.6050204@tcweb.org> <[🔎] 44622702.8030708@plouf.fr.eu.org> <[🔎] 4462DB6B.2040903@free.fr> <[🔎] 4462F9AE.1080506@plouf.fr.eu.org>

Pascal Hambourg a écrit :

avec un script qui fait tout dans /etc/init.d/ les règles sontsystématiquement chargés, avec des scripts dans /etc/network/*.d/ et/etc/ppp/ip-*.d/ les règles sont spécifiques à l'interface et ne sontchargé que si l'interface se monte bien.
Certes, et c'est l'intérêt. Mais quel rapport avec l'inaccessibilité enSSH ? Si l'interface réseau ne monte pas pour une une raison ou pour uneautre, la machine sera de toute façon inaccessible, que les règlesiptables soient chargées ou pas.


imaginons le cas suivant :
eth0 => internet
eth1 => lan
vlan0 => vlan d'administration

depuis le net juste le 80/443 et le port pour l'ouverture du VPN depuisune liste d'IP publique

depuis le LAN 80/443 et SSH
vlan0 idem LAN

si le pilote d'eth0 ne se charge pas bien, eth1 devient eth0 ...

avec un script générique on se retrouve avec les règles internet sur lelan donc juste du 80 ... donc plus de ssh depuis le LAN, et impossibled'ouvrir le vpn :-(

Oui, et c'est mal, car le nom d'une interface PPP est fondamentalementdynamique, même s'il y a une option pour le "forcer" mais qui nemarchera pas dans le cas que tu évoques plus bas. Toutefois, si on saitque pppd ne sert que pour la connexion internet, on peut utiliser le nomavec wildcard "ppp+" dans les règles iptables.


ha je ne connaissais pas.

or pppd peut par erreur monter un ppp1 (ppp0 à planté et le remontagede la connections ppp est plus rapide que la destruction de ppp0, pbrencontré il y a quelques années avec la raie verte)
En effet, déjà vu aussi.
on se retrouve donc avec des règles firewall sur un ppp0 qui n'existeplus et pas de règles sur ppp1 :-(
En effet. Mais je ne vois toujours pas en quoi cela rendrait la machine"ouverte", comme tu le disais. La politique de filtrage par défaut étantDROP (n'est-ce pas ;-) ?), tout le trafic sur une interface non prévue

effectivement avec du DROP par défaut ça doit tout bloquer ... monraisonement ne tient pas la route :-(Pourtant j'avais eu un exemple entre les mains ... dès que je leretrouve, c'est promis, je vous le donne.





--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@jabber.tcweb.org

Reply to:

Follow-Ups:
- Re: script pour lancer iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- script pour lancer iptables
  - From: Klaus Becker <colonius@free.fr>
- Re: script pour lancer iptables
  - From: Thomas Clavier <tom@tcweb.org>
- Re: script pour lancer iptables
  - From: Klaus Becker <colonius@free.fr>
- Re: script pour lancer iptables
  - From: Thomas Clavier <tom@tcweb.org>
- Re: script pour lancer iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: script pour lancer iptables
  - From: Thomas Clavier <thomas.clavier@free.fr>
- Re: script pour lancer iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: script pour lancer iptables
Next by Date: Re: Logguer le traffic web sur ~[user] et /var/www/html
Previous by thread: Re: script pour lancer iptables
Next by thread: Re: script pour lancer iptables
Index(es):
- Date
- Thread