Re: [ CLARIFICATION ] Autoload du module ip_conntrack_ftp
Le Mon 16/09/2002, Eric LeBlanc disait
> On Mon, 2002-09-16 at 14:13, Erwan David wrote:
>
> >
> > Sans ce module il est impossible de faire un firewall sérieux et de
> > faire du ftp.
> >
>
> Sigh, on derape carrement du topic de debian, ca sera mon dernier post.
>
> Bien sur qu'on peut faire un firewall serieux sans faire de FTP.
>
> Proteger le reseau interne, et allouer les sorties web uniquement ne t'a
> jamais traverse l'esprit ?
>
> Exemple: une entreprise qui veut faire un site web bebete, et qui se
> fait a l'interne, sans distribuer des fichiers a l'externe, ou plus bete
> encore, allouer les employes a faire du web, mais rien d'autre que du
> web, voyant l'inutilite d'utiliser les FTP a l'externe. Il y a
> plusieurs cas de situations ou qu'on a pas besoin de FTP.
>
> Plus le firewall est petit avec les modules requis, meilleure est la
> securite, et les performances seront optimales (moins de check sur le
> protocole TCP).
Ah ben on peut *aussi* complètement couper le réseau... Je ne vois pas
pourquoi je m'interdirais le protocole ftp, au seul prétexte que
netfilter/iptables est chiant à configurer pour que ça marche...
ftp est un protocole qui marche, qui a des possibilités que les clients
ftp n'ont pas (reprise de chargement par exemple).
Quant à répondre à celui qui veut ouvrir l'accès ftp "tu n'en a pas
besoi", c'est *exactement* comme dire à celui qui veut des filtres
d'export dans son word "tu n'en as pas besoin".
Moi j'en ai besoin. Ne serait-ce que parceque les mirroirs debian que
j'utilise sont en ftp.
En fait le chargement du module pourrait très bien être fait par
netfilter, quitte à ajouter une commande à iptables (c'est pas ça qui va
rendre la syntaxe incompréhensible de toute façon).
--
Erwan
Reply to: