Re: script pour lancer iptables
Pascal Hambourg a écrit :
avec un script qui fait tout dans /etc/init.d/ les règles sont
systématiquement chargés, avec des scripts dans /etc/network/*.d/ et
/etc/ppp/ip-*.d/ les règles sont spécifiques à l'interface et ne sont
chargé que si l'interface se monte bien.
Certes, et c'est l'intérêt. Mais quel rapport avec l'inaccessibilité en
SSH ? Si l'interface réseau ne monte pas pour une une raison ou pour une
autre, la machine sera de toute façon inaccessible, que les règles
iptables soient chargées ou pas.
imaginons le cas suivant :
eth0 => internet
eth1 => lan
vlan0 => vlan d'administration
depuis le net juste le 80/443 et le port pour l'ouverture du VPN depuis
une liste d'IP publique
depuis le LAN 80/443 et SSH
vlan0 idem LAN
si le pilote d'eth0 ne se charge pas bien, eth1 devient eth0 ...
avec un script générique on se retrouve avec les règles internet sur le
lan donc juste du 80 ... donc plus de ssh depuis le LAN, et impossible
d'ouvrir le vpn :-(
Oui, et c'est mal, car le nom d'une interface PPP est fondamentalement
dynamique, même s'il y a une option pour le "forcer" mais qui ne
marchera pas dans le cas que tu évoques plus bas. Toutefois, si on sait
que pppd ne sert que pour la connexion internet, on peut utiliser le nom
avec wildcard "ppp+" dans les règles iptables.
ha je ne connaissais pas.
or pppd peut par erreur monter un ppp1 (ppp0 à planté et le remontage
de la connections ppp est plus rapide que la destruction de ppp0, pb
rencontré il y a quelques années avec la raie verte)
En effet, déjà vu aussi.
on se retrouve donc avec des règles firewall sur un ppp0 qui n'existe
plus et pas de règles sur ppp1 :-(
En effet. Mais je ne vois toujours pas en quoi cela rendrait la machine
"ouverte", comme tu le disais. La politique de filtrage par défaut étant
DROP (n'est-ce pas ;-) ?), tout le trafic sur une interface non prévue
effectivement avec du DROP par défaut ça doit tout bloquer ... mon
raisonement ne tient pas la route :-(
Pourtant j'avais eu un exemple entre les mains ... dès que je le
retrouve, c'est promis, je vous le donne.
--
Thomas Clavier http://www.tcweb.org
Lille Sans Fil http://www.lillesansfil.org
+33 (0)6 20 81 81 30 JabberID : tom@jabber.tcweb.org
Reply to: