On Thu, May 24, 2007 at 08:09:56PM +0200, Jacques L'helgoualc'h wrote: > Pascal Hambourg a écrit, jeudi 24 mai 2007, à 18:01 : > > Jacques L'helgoualc'h a écrit : > > > PH>[le club des cinq PPP] > > >Ce n'est pas ce que j'entends par « cas simples » :) > > > > J'avais trop envie d'exposer un cas pratique "pas simple" illustrant > > l'intérêt des règles iptables dynamiques. :-) > > Il y aurait sans doute plus de lecteurs pour un cas simple et utile :) > > Exemple tout bête, en initialisant une connexion RTC/PPP, je purge > seulement les chaînes ppp_(in|out)... > De même, ma chaîne « natted_in » concentre la gestion des adresses IP > dynamiques autorisées pour les ports cachés. > J'accepte ESTABLISHED avant, c'est tout de même le gros du trafic. Au final, je pense qu'il serait interessant de charger un script de demarrage pour appliquer la politique par defaut et les regles applicables a toutes les interfaces. De meme, les regles de gestion des futures interfaces serait chargees (lan, vpn, ppp et autres que je ne connais pas) en utilisant les chaines utilisateurs. Cependant, aucun lien ne serait present entre les regles principales et ce que je vais appeler les regles *dediees* (lan, vpn ...). Ensuite une fois qu'une interface est montee, on cree le lien entre les regles principales et les regles dediees pour cette interface meme. Lors du demontage de l'interface, on supprime ce lien. C'est comme cela que je verrais les choses apres reflexion. -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature