Re: [HS] Help pour débuter avec iptables
Bonjour,
Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)
Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit :
> >>
> >> *filter
> >>
> >> :INPUT ACCEPT [0:0]
> >
> > La politique par défaut devrait être DROP.
>
> alors là ya un truc que je ne pige pas:
> si c'est à DROP tout ce qui rentre va être droppé non ?
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
> Dans quel ordre iptables lit il les règles ?
Dans l'ordre ou elles apparaissent dans les tables.
Chaque ajout (-A) à lieu à la suite des règles existantes, d'où la remarque de
Pascal (plus loin dans le même message) de placer les règles concernant les
paquets ESTABLISHED/RELATED en début de table, pour éviter que ces paquets ne
doivent tout d'abord passer par les autres règles.
> >> ## Allow previously established connections
> >> -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> >
> > Cette règle devrait se trouver en début de chaîne car c'est elle qui
> > traite normalement le plus de paquets.
Plus globalement, une politique de DROP par défaut me paraît beaucoup plus
sûre; si on oublie d'ouvrir un port ça se remarque généralement assez
rapidement, ce qui n'est pas forcément le cas de ceux que l'on oublie de
fermer. De plus AMA c'est plus facile à lire et à comprendre, on n'a que des
règles ACCEPT au lieu d'un mélange de règles ACCEPT (pour récupérer les
paquets sans traverser toute la chaîne) et de règles DROP dans le cas d'une
politique par défaut en ACCEPT.
mes 2cts.
--
Serge
Reply to: