Re: Firewall ipchains VS iptables

To: Bruno Adele <b_adele@netcourrier.com>, debian-user-french@lists.debian.org
Subject: Re: Firewall ipchains VS iptables
From: Amaury AL <amaury@mandrakesoft.com>
Date: Wed, 6 Feb 2002 14:42:50 +0100
Message-id: <[🔎] 20020206134250.97C536AC@calouga.mandrakesoft.com>
In-reply-to: <[🔎] 20020206142602.A15647@pentium.jade.fr>
References: <[🔎] 20020206142602.A15647@pentium.jade.fr>

> Je trouve les nouvelles regles d'iptable sont incompleten, à moins que j'ai
> oubliée un detail.

Sans avoir lu ton mail, j'aurais tendance à répondre : il est probable 
qu'effectivement tu aies oublié un détail : après avoir utilisé IPchains, 
j'ai énormément apprécié le passage à IPtables (sans être un kador dans ce 
domaine)

> C'est à dire que si un paquet est destiné pour un forward, il ne passe ni
> dans la chaine INPUT, ni dans la chaine OUTPUT.

Oui

> Par exemple
> dans ce cas, imaginons qu'un cheval de troie ou diverses variante veullent
> se connecter d'une machine du reseau (contaminé) vers l'exterieur port 1234
> par exemple.
> Avec ipchains il suffisait de faire
> ipchains -A OUTPUT -p tcp --dport 1234 -j DENY
> Quet c'etait un forward ou un input la regles empecher le paquet

> tandis que sous iptables il est impossible d'executer cette chaine dans le
> reseau local à l'exception du firewall lui meme.

??? 
Je ne comprends pas. OUTPUT concerne le FW lui même, FORWARD les paquets 
"masqueradés" (le cas le plus fréquent).

> j'en deduit donc qu'avec iptables les regles seront redondante à moins de
> faire comme ci dessous.

Non. Car le filtrage du réseau derrière le FW n'est pas la même chose que le 
filtrage lui-même.

Si tu veux bloquer tous les Back-Orrifice (exemple) "sortant", il faut non 
seulement les bloquer en FORWARD, mais aussi en OUTPUT (l'exemple est débile 
vu que Linux ne craint pas grand chose face à BO, mais bon...)

Cela me semble assez cohérent de mettre en place des règles de filtrage, d'un 
coté pour ton réseau interne, de l'autre pour le FW lui même.

> Donc je voudrais savoir si les nouvelles regles ne remete pas en cause la
> sécurité et sa facon de l'administrer. Car jusqu'a present je trouvais
> l'administration d'ipchains relativement simple (simplicité
> d'administration).

Puisque que tu as l'air d'avoir pas mal potassé la doc, je suis étonné que tu 
n'aies pas remarqué que le fait qu'IPtables soit "Statefull" permet de 
simplifier ENORMEMENT les règles de filtrage, et de faire des trucs "sympas" 
beaucoup plus élégamment qu'avec IPchains (FTP, port fowarding, masquerading, 
notamment)

Personnellement j'ai passé ma patate en 2.4 pour cette seule raison.

Amaury

Reply to:

Follow-Ups:
- Re: Firewall ipchains VS iptables
  - From: Bruno Adele <b_adele@netcourrier.com>

References:
- Firewall ipchains VS iptables
  - From: Bruno Adele <b_adele@netcourrier.com>

Prev by Date: RE: apacheconfig
Next by Date: (OT) Des requetes http bizaroïdes...
Previous by thread: Firewall ipchains VS iptables
Next by thread: Re: Firewall ipchains VS iptables
Index(es):
- Date
- Thread