Thomas Clavier a écrit :
En sécu, on dit souvent qu'il ne faut pas de choses inutiles ... or il y a de nombreuses raisons pour qu'une interface réseau ne se monte pas automatiquement au boot, et se retrouver avec une machine injoignable en ssh parceque le pilote d'une des cartes n'a pas été correctement chargé, c'est pas top.Quel rapport avec l'utilisation de scripts dans /etc/network/*.d/ et dans /etc/ppp/ip-*.d/ ?avec un script qui fait tout dans /etc/init.d/ les règles sont systématiquement chargés, avec des scripts dans /etc/network/*.d/ et /etc/ppp/ip-*.d/ les règles sont spécifiques à l'interface et ne sont chargé que si l'interface se monte bien.
Certes, et c'est l'intérêt. Mais quel rapport avec l'inaccessibilité en SSH ? Si l'interface réseau ne monte pas pour une une raison ou pour une autre, la machine sera de toute façon inaccessible, que les règles iptables soient chargées ou pas.
Plus vicieux, avoir une machine ouverte sur le net parcequ'il y a une nouvelle interface réseau (genre vpn ou ppp1) c'est quand même pas génial.Je ne vois toujours pas le rapport. Merci d'expliquer.Avec un seul script globale, on fait des hypothèses, genre l'interface internet c'est ppp0,
Oui, et c'est mal, car le nom d'une interface PPP est fondamentalement dynamique, même s'il y a une option pour le "forcer" mais qui ne marchera pas dans le cas que tu évoques plus bas. Toutefois, si on sait que pppd ne sert que pour la connexion internet, on peut utiliser le nom avec wildcard "ppp+" dans les règles iptables.
or pppd peut par erreur monter un ppp1 (ppp0 à planté et le remontage de la connections ppp est plus rapide que la destruction de ppp0, pb rencontré il y a quelques années avec la raie verte)
En effet, déjà vu aussi.
on se retrouve donc avec des règles firewall sur un ppp0 qui n'existe plus et pas de règles sur ppp1 :-(
En effet. Mais je ne vois toujours pas en quoi cela rendrait la machine "ouverte", comme tu le disais. La politique de filtrage par défaut étant DROP (n'est-ce pas ;-) ?), tout le trafic sur une interface non prévue dans les règles statiques serait bloqué. C'est gênant pour la connectivité, mais la sécurité n'est pas compromise.