Re: Firewall ipchains VS iptables
> Je trouve les nouvelles regles d'iptable sont incompleten, à moins que j'ai
> oubliée un detail.
Sans avoir lu ton mail, j'aurais tendance à répondre : il est probable
qu'effectivement tu aies oublié un détail : après avoir utilisé IPchains,
j'ai énormément apprécié le passage à IPtables (sans être un kador dans ce
domaine)
> C'est à dire que si un paquet est destiné pour un forward, il ne passe ni
> dans la chaine INPUT, ni dans la chaine OUTPUT.
Oui
> Par exemple
> dans ce cas, imaginons qu'un cheval de troie ou diverses variante veullent
> se connecter d'une machine du reseau (contaminé) vers l'exterieur port 1234
> par exemple.
> Avec ipchains il suffisait de faire
> ipchains -A OUTPUT -p tcp --dport 1234 -j DENY
> Quet c'etait un forward ou un input la regles empecher le paquet
> tandis que sous iptables il est impossible d'executer cette chaine dans le
> reseau local à l'exception du firewall lui meme.
???
Je ne comprends pas. OUTPUT concerne le FW lui même, FORWARD les paquets
"masqueradés" (le cas le plus fréquent).
> j'en deduit donc qu'avec iptables les regles seront redondante à moins de
> faire comme ci dessous.
Non. Car le filtrage du réseau derrière le FW n'est pas la même chose que le
filtrage lui-même.
Si tu veux bloquer tous les Back-Orrifice (exemple) "sortant", il faut non
seulement les bloquer en FORWARD, mais aussi en OUTPUT (l'exemple est débile
vu que Linux ne craint pas grand chose face à BO, mais bon...)
Cela me semble assez cohérent de mettre en place des règles de filtrage, d'un
coté pour ton réseau interne, de l'autre pour le FW lui même.
> Donc je voudrais savoir si les nouvelles regles ne remete pas en cause la
> sécurité et sa facon de l'administrer. Car jusqu'a present je trouvais
> l'administration d'ipchains relativement simple (simplicité
> d'administration).
Puisque que tu as l'air d'avoir pas mal potassé la doc, je suis étonné que tu
n'aies pas remarqué que le fait qu'IPtables soit "Statefull" permet de
simplifier ENORMEMENT les règles de filtrage, et de faire des trucs "sympas"
beaucoup plus élégamment qu'avec IPchains (FTP, port fowarding, masquerading,
notamment)
Personnellement j'ai passé ma patate en 2.4 pour cette seule raison.
Amaury
Reply to: