Re: iptables : charger un fichier
Salut,
debian-mail a écrit :
Tu peux également utiliser l'option post-up dans ton fichier
/etc/network/interfaces
Oui, si les règles sont liées à une interface. Sinon ce n'est pas très
cohérent. (J'avoue, dans le même registre j'ai quand même ajouté une
route IPv6 qui n'a rien à voir avec une option 'up' de l'interface de
loopback. Je suis mauvais, /très/ mauvais.)
Ou bien le script peut être placé dans /etc/ppp/ip-up.d/ s'il est lié à
une interface PPP, afin que les règles iptables soient créées à
l'établissement de la connexion, éventuellement en tenant compte du nom
de l'interface, des adresses locale et distante... Dans ce cas ne pas
oublier le script réciproque dans /etc/ppp/ip-down.d/ qui efface les
règles créées à la déconnexion. J'ai une petite astuce : c'est le même
script avec une variable de shell qui contient "-A" pour la création et
"-D" pour la suppression.
Note :
Michel propose pre-up plutôt que post-up. Cela dépend de la stratégie de
filtrage. Si on a tout bloqué par défaut avant, par exemple dans un
script de /etc/init.d, et que le script ajoute des règles ACCEPT, on
peut l'exécuter après l'activation de l'interface (post-up). Si en
revanche on accepte tout par défaut et que le script ajoute des
restrictions avec des règles DROP ou REJECT, alors évidemment il vaut
mieux l'exécuter avant l'activation de l'interface (pre-up). Inutile de
préciser que dans une optique de sécurité la première solution,
consistant à tout bloquer par défaut avant l'activation des interfaces,
est préférable.
Reply to: