Re: Petite question iptables
Le Mon, 26 Jan 2009 15:29:03 +0100,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
> David BERCOT a écrit :
> > Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
> >> David BERCOT a écrit :
> >>> iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
> >> L'option -s est trop restrictive, les paquets émis sur l'interface
> >> de loopback peuvent avoir n'importe quelle adresse source locale.
> >> Cela inclut la plage 127.0.0.0/8 et toutes les adresses
> >> configurées sur les interfaces de la machine.
>
> En clair, je te conseille fortement de supprimer l'option -s dans
> cette règle. Quel bénéfice en terme de sécurité apporte-t-elle ?
>
> > Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous
> > cas)...
>
> Tu peux penser ce que tu veux, ou bien vérifier avec cette commande
> qui affichera toutes les destinations locales à la machine (installer
> le paquet iproute si nécessaire) :
>
> ip route list type local table local
En effet, c'est un peu plus complet. Et de toutes façons, tu t'y
connais visiblement que moi là-dessus ;-)
J'ai donc supprimé '-s 127.0.0.1' !
> >> C'est censé marcher comment au niveau réseau, sslh ?
> >
> > On arrive sur un port spécifique, et, ensuite, en fonction de ce qui
> > arrive, on est redirigé vers le bon service sur un autre port.
>
> Redirigé comment ? En établissant une seconde connexion locale ? Avec
> quelles adresses source et destination ?
Alors là, il faudrait demander à Yves ;-)
> > Je me demande si je ne pourrais pas faire un mix des règles
> > précédentes, du genre :
> > iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1
> > -j ACCEPT
>
> Cette règle est plus restrictive que celle-ci dessus, donc bof.
Oui, en effet.
Mais avec l'adresse de la machine (comme je l'ai mis dans un autre
post), ça semble ok :
iptables -t filter -A INPUT -p tcp --source 'adresse_ip' -j ACCEPT
> Pour savoir quels paquets nécessaires sont bloqués, tu peux ajouter
> une règle avec LOG en fin de chaîne et regarder dans les logs du
> noyau :
>
> iptables -t filter -A INPUT -j LOG
Ben oui, mais non ;-) Je retrouve mon problème de shorewall où ça
bloque sur le LOG !!!
David.
Reply to:
- References:
- Shorewall, iptables et noyau ?
- From: David BERCOT <debian@bercot.org>
- Re: Shorewall, iptables et noyau ?
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Shorewall, iptables et noyau ?
- From: David BERCOT <debian@bercot.org>
- Re: Shorewall, iptables et noyau ?
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Shorewall, iptables et noyau ?
- From: David BERCOT <debian@bercot.org>
- Re: Shorewall, iptables et noyau ?
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Shorewall, iptables et noyau ?
- From: David BERCOT <debian@bercot.org>
- Re: Shorewall, iptables et noyau ?
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
- From: David BERCOT <debian@bercot.org>
- Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
- From: David BERCOT <debian@bercot.org>
- Re: Petite question iptables
- From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>