Re: portmap et /etc/hosts.allow

To: debian-user-french@lists.debian.org
Subject: Re: portmap et /etc/hosts.allow
From: Michel Grentzinger <mic.grentz@online.fr>
Date: Wed, 23 Aug 2006 10:26:08 +0200
Message-id: <[🔎] 200608231026.10176.mic.grentz@online.fr>
In-reply-to: <[🔎] m3odub6gki.fsf@neo.luffy.cx>
References: <[🔎] 200608222230.24648.mic.grentz@online.fr> <[🔎] m3odub6gki.fsf@neo.luffy.cx>

Le mercredi 23 août 2006 09:45, Vincent Bernat a écrit :
> OoO En  cette soirée bien amorcée  du mardi 22 août  2006, vers 22:30,
>
> Michel Grentzinger <mic.grentz@online.fr> disait:
> > Je viens de voir que portmap peut écouter sur une interface précise grâce
> > à l'option "-i " (paramétrable dans /etc/default/portmap).
> > Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec
> > ceci par exemple :
> > portmap: 192.168.1.0/24
> >
> > Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24"
> > ? Qui intervient en premier ?
>
> Le -i est  prioritaire. Avec -i, portmap n'écoute  que sur l'interface
> spécifiée.  Si  un  paquet  arrive  à  son  attention  sur  une  autre
> interface, il ne  le sait même pas. Avec  hosts.allow, s'il écoute sur
> toutes les  interfaces, il  va recevoir le  paquet puis  regarder s'il
> doit le laisser ou non passer.
>
> Le -i est plus sûr dans le sens  oû même s'il y a un bug dans portmap,
> il ne sera pas possible de le contacter de l'extérieur (sauf si le bug
> concerne  le -i).  Le hosts.allow  est plus  souple car  il  n'est pas
> obligatoire de mettre un réseau correspondant à une interface, tu peux
> mettre plusieurs  réseaux, des IPs  particulières, etc. Ceci  est géré
> par  la  libnwrap  qui  est  utilisée  par  d'autres  projets  et  est
> relativement sûre.
>
> Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour,
> une mise à  jour ne prend plus  en compte le -i, tu  auras toujours le
> /etc/hosts.allow qui pourra intervenir.

Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte 
plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai 
rien trouvé dans le man.

Je suppose qu'il faut accepter 127.0.0.1 de toute façon, non ?

Pour mon cas particulier, je souhaite que seul mon réseau local soit autorisé, 
soit 2 réseaux : 192.168.0.0/24 et 192.168.1.0/24 (sur 2 interfaces : eth1 et 
eth2).

portmap -i 192.168.0.0/24 -i 192.168.1.0/24

/etc/hosts.allow
portmap: 192.168.1.0/24
portmap: 192.168.0.0/24

Merci pour tes explications très claires !
Est-ce que tu aurais une URL qui explique tout ça ?
-- 
Michel Grentzinger
	OpenPGP key ID : B2BAFAFA
		Available on http://www.keyserver.net

Reply to:

Follow-Ups:
- Re: portmap et /etc/hosts.allow
  - From: Vincent Bernat <bernat@luffy.cx>

References:
- portmap et /etc/hosts.allow
  - From: Michel Grentzinger <mic.grentz@online.fr>
- Re: portmap et /etc/hosts.allow
  - From: Vincent Bernat <bernat@luffy.cx>

Prev by Date: Configurer la vitesse d'une carte réseau
Next by Date: Re: gravure CD/DVD en UDF...
Previous by thread: Re: portmap et /etc/hosts.allow
Next by thread: Re: portmap et /etc/hosts.allow
Index(es):
- Date
- Thread