Bonjour, Je suis en train d'écrire des règles de filtrage avec iptables pour mes machines, et je me pose quelques questions.
1. Quelle est sous Debian « la » bonne manière de charger ses règles iptables automatiquement : script dans init.d, dans if-pre-up.d, ailleurs ? Pourquoi n'y a-t-il pas de mécanisme générique prévu (il me semble que c'est pourtant le genre de chose auquelles on pourrait s'attendre sous Debian) ? 2. J'utilise actuellement fail2ban, que j'apprécie pas mal, pour lutter contre les attaque par force brute sur ssh : comment faire pour ne pas tout casser entre mes règles personnalisée et celles introduites pas fail2ban ? 3. Quelle est la différence entre iptables-restore et un script shell qui commence pas tout nettoyer avant de définir les nouvelles règles ? 4. Sur une machine ne faisant en principe pas passerelle ou autre, que faire de la chaîne FORWARD ? Je pensais faire 'iptables -A FORWARD -P DROP' et u point c'est tout : est-ce raisonnable ? 5. J'ai sur mes machines des services qui écoutent sur les ports 111 et 113 : respectivement portmap et inetd, dont je ne sais pas pourquoi ils sont là ni à quoi ils servent (embêtant pour décider de la politique de filtrage). Je ne sais pas non plus où configurer ces services, et je constate que sur une machine, portmap écoute uniquement sur 127.0.0.1 alors que sur l'autre il écoute partout... 6. Enfin, un question sans doute très stupide sur iptables : quelle est la différence entre régler la polique sur une chaîne (par exemple -P DROP) et rajouter à la fin de la chaîne une règle qui drope tout ? Merci d'avance pour vos réponses ! Manuel. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
