Re: firewall, iptables et ses front-ends

[Pascal Hambourg <pascal@plouf.fr.eu.org>]

Jean-Michel OLTRA a écrit :
> 
> Il est parfois possible, dans la configuration du service, de spécifier
> une interface ou adresse sur laquelle le service écoute.

Malheureusement c'est quasiment toujours l'adresse, et pas l'interface.
Même quand on spécifie une interface dans la configuration, en pratique
cela revient à spécifier "l'adresse de cette interface". Or le modèle
d'hôte "faible" (weak host model) appliqué par Linux permet d'utiliser
l'adresse d'une interface sur n'importe quelle autre interface. On peut
compter sur des effets de bords pour assurer la restriction (par exemple
l'adresse n'est pas censée être routable depuis l'extérieur), mais cela
revient à compter sur quelqu'un d'autre pour assurer sa sécurité.
Certains services permettent aussi de spécifier les adresses sources
autorisées, directement ou via le wrapper tcpd et /etc/host.allow|deny.

Au final, gérer globalement les autorisations via iptables est
généralement plus radical (vraie gestion par interface réseau) et plus
simple (toutes les autorisations d'accès centralisées au même endroit et
gérées de la même façon).