David BERCOT a écrit :
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :David BERCOT a écrit :L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées suriptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPTles interfaces de la machine.
En clair, je te conseille fortement de supprimer l'option -s dans cette règle. Quel bénéfice en terme de sécurité apporte-t-elle ?
Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous cas)...
Tu peux penser ce que tu veux, ou bien vérifier avec cette commande qui affichera toutes les destinations locales à la machine (installer le paquet iproute si nécessaire) :
ip route list type local table local
C'est censé marcher comment au niveau réseau, sslh ?On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port.
Redirigé comment ? En établissant une seconde connexion locale ? Avec quelles adresses source et destination ?
Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT
Cette règle est plus restrictive que celle-ci dessus, donc bof.Pour savoir quels paquets nécessaires sont bloqués, tu peux ajouter une règle avec LOG en fin de chaîne et regarder dans les logs du noyau :
iptables -t filter -A INPUT -j LOG