[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: portmap et /etc/hosts.allow

OoO En  cette soirée bien amorcée  du mardi 22 août  2006, vers 22:30,
Michel Grentzinger <mic.grentz@online.fr> disait:

> Je viens de voir que portmap peut écouter sur une interface précise grâce à 
> l'option "-i " (paramétrable dans /etc/default/portmap).
> Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec ceci par 
> exemple :
> portmap: 192.168.1.0/24

> Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24" ?
> Qui intervient en premier ?

Le -i est  prioritaire. Avec -i, portmap n'écoute  que sur l'interface
spécifiée.  Si  un  paquet  arrive  à  son  attention  sur  une  autre
interface, il ne  le sait même pas. Avec  hosts.allow, s'il écoute sur
toutes les  interfaces, il  va recevoir le  paquet puis  regarder s'il
doit le laisser ou non passer.

Le -i est plus sûr dans le sens  oû même s'il y a un bug dans portmap,
il ne sera pas possible de le contacter de l'extérieur (sauf si le bug
concerne  le -i).  Le hosts.allow  est plus  souple car  il  n'est pas
obligatoire de mettre un réseau correspondant à une interface, tu peux
mettre plusieurs  réseaux, des IPs  particulières, etc. Ceci  est géré
par  la  libnwrap  qui  est  utilisée  par  d'autres  projets  et  est
relativement sûre.

Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour,
une mise à  jour ne prend plus  en compte le -i, tu  auras toujours le
/etc/hosts.allow qui pourra intervenir.
-- 
Test input for validity and plausibility.
            - The Elements of Programming Style (Kernighan & Plauger)
Reply to: