Re: portmap et /etc/hosts.allow
Le mercredi 23 août 2006 09:45, Vincent Bernat a écrit :
> OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22:30,
>
> Michel Grentzinger <mic.grentz@online.fr> disait:
> > Je viens de voir que portmap peut écouter sur une interface précise grâce
> > à l'option "-i " (paramétrable dans /etc/default/portmap).
> > Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec
> > ceci par exemple :
> > portmap: 192.168.1.0/24
> >
> > Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24"
> > ? Qui intervient en premier ?
>
> Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface
> spécifiée. Si un paquet arrive à son attention sur une autre
> interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur
> toutes les interfaces, il va recevoir le paquet puis regarder s'il
> doit le laisser ou non passer.
>
> Le -i est plus sûr dans le sens oû même s'il y a un bug dans portmap,
> il ne sera pas possible de le contacter de l'extérieur (sauf si le bug
> concerne le -i). Le hosts.allow est plus souple car il n'est pas
> obligatoire de mettre un réseau correspondant à une interface, tu peux
> mettre plusieurs réseaux, des IPs particulières, etc. Ceci est géré
> par la libnwrap qui est utilisée par d'autres projets et est
> relativement sûre.
>
> Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour,
> une mise à jour ne prend plus en compte le -i, tu auras toujours le
> /etc/hosts.allow qui pourra intervenir.
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte
plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai
rien trouvé dans le man.
Je suppose qu'il faut accepter 127.0.0.1 de toute façon, non ?
Pour mon cas particulier, je souhaite que seul mon réseau local soit autorisé,
soit 2 réseaux : 192.168.0.0/24 et 192.168.1.0/24 (sur 2 interfaces : eth1 et
eth2).
portmap -i 192.168.0.0/24 -i 192.168.1.0/24
/etc/hosts.allow
portmap: 192.168.1.0/24
portmap: 192.168.0.0/24
Merci pour tes explications très claires !
Est-ce que tu aurais une URL qui explique tout ça ?
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Reply to: