[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Script firewall

OoO En ce doux début de  matinée du mardi 23 janvier 2007, vers 08:41,
franck <joncourt_franck@yahoo.co.uk> disait:

> le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz

> Explications :
[...]

Je pense que le problème de  ton firewall, c'est que tu documentes pas
assez. Je suppose que 111,  2049, 32765:32768, c'est pour le NFS, mais
tu devrais l'indiquer dans les commentaires.

Personnellement,  je  ne suis  pas  fan  du  surtraitement en  ce  qui
concerne les états. Bon point de  traiter ce qui est --state NEW, mais
personnellement,  je ne  ferai  pas tout  un  cinéma avec  ce qui  est
RELATED et ESTABLISHED  (port > 1024 et certains  messages ICMP). Cela
peut t'apporter de mauvaises  surprises, notamment par exemple les DNS
qui parlent de 53  à 53 ou les serveurs de temps  qui parlent de 123 à
123. Tu  utilises un  OS qui fait  les bons  choix par défaut,  je lui
laisserais gérer cette partie tout seul comme un grand.

Pareil pour  le coup de vérifier  les TCP flags. Tu  évites de révéler
certaines informations  sur ton système,  mais tu rends  plus complexe
ton firewall.

Mais bon, ça se discute.
-- 
printk(KERN_WARNING "%s: Short circuit detected on the lobe\n",
dev->name);
	2.4.0-test2 /usr/src/linux/drivers/net/tokenring/lanstreamer.c
Reply to: