[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: questions sur iptables



Salut,

mpg (il est partout !) a écrit :

1. Quelle est sous Debian « la » bonne manière de charger ses règles
iptables automatiquement : script dans init.d, dans if-pre-up.d, ailleurs ?

En complément des autres réponses, il y a aussi /etc/ppp/ip-{up,down}.d/ pour les interfaces PPP créées par pppd.

Pourquoi n'y a-t-il pas de mécanisme générique prévu (il me semble que
c'est pourtant le genre de chose auquelles on pourrait s'attendre sous
Debian) ?

Parce qu'il n'y a pas de solution universelle. Par exemple, il y a des interfaces réseau dynamiques qui ne sont pas gérées par ifup|ifdown, comme celles gérées par les serveurs VPN.

2. J'utilise actuellement fail2ban, que j'apprécie pas mal, pour lutter
contre les attaque par force brute sur ssh : comment faire pour ne pas tout
casser entre mes règles personnalisée et celles introduites pas fail2ban ?

Comme déjà dit, créer une chaîne utilisateur pour les règles de fail2ban et l'appeler au bon endroit dans les règles personnalisées.

4. Sur une machine ne faisant en principe pas passerelle ou autre, que faire
de la chaîne FORWARD ? Je pensais faire 'iptables -A FORWARD -P DROP' et u
point c'est tout : est-ce raisonnable ?

Oui. De toute façon si le forwarding IP n'est pas activé et qu'il n'y a pas de pont avec bridge-nf, aucun paquet ne passera par les chaînes FORWARD.

5. J'ai sur mes machines des services qui écoutent sur les ports 111 et
113 : respectivement portmap et inetd, dont je ne sais pas pourquoi ils
sont là ni à quoi ils servent

Tu veux dire inetd ou identd ? Le port 113 (auth) est normalement utilisé par identd, qui sert à informer un serveur distant de l'identité de l'utilisateur local qui se connecte à lui. C'est utilisé notamment par les serveurs IRC. La plupart des serveurs IRC exigent d'ailleurs que le port TCP 113 soit ouvert (ACCEPT) ou fermé (REJECT) mais pas bloqué (DROP).

6. Enfin, un question sans doute très stupide sur iptables : quelle est la
différence entre régler la polique sur une chaîne (par exemple -P DROP) et
rajouter à la fin de la chaîne une règle qui drope tout ?

Si on est amené à ajouter des règles après une règle DROP, elles sont ignorées. La politique par défaut n'a pas cet inconvénient. Si on vide une chaîne (iptables -F) la politique par défaut reste alors que la règle DROP saute.


Reply to: