Le Mon, 26 Jan 2009 15:29:03 +0100, Pascal Hambourg <pascal.m...@plouf.fr.eu.org> a écrit : > David BERCOT a écrit : > > Pascal Hambourg <pascal.m...@plouf.fr.eu.org> a écrit : > >> David BERCOT a écrit : > >>> iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT > >> L'option -s est trop restrictive, les paquets émis sur l'interface > >> de loopback peuvent avoir n'importe quelle adresse source locale. > >> Cela inclut la plage 127.0.0.0/8 et toutes les adresses > >> configurées sur les interfaces de la machine. > > En clair, je te conseille fortement de supprimer l'option -s dans > cette règle. Quel bénéfice en terme de sécurité apporte-t-elle ? > > > Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous > > cas)... > > Tu peux penser ce que tu veux, ou bien vérifier avec cette commande > qui affichera toutes les destinations locales à la machine (installer > le paquet iproute si nécessaire) : > > ip route list type local table local
En effet, c'est un peu plus complet. Et de toutes façons, tu t'y connais visiblement que moi là-dessus ;-) J'ai donc supprimé '-s 127.0.0.1' ! > >> C'est censé marcher comment au niveau réseau, sslh ? > > > > On arrive sur un port spécifique, et, ensuite, en fonction de ce qui > > arrive, on est redirigé vers le bon service sur un autre port. > > Redirigé comment ? En établissant une seconde connexion locale ? Avec > quelles adresses source et destination ? Alors là, il faudrait demander à Yves ;-) > > Je me demande si je ne pourrais pas faire un mix des règles > > précédentes, du genre : > > iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 > > -j ACCEPT > > Cette règle est plus restrictive que celle-ci dessus, donc bof. Oui, en effet. Mais avec l'adresse de la machine (comme je l'ai mis dans un autre post), ça semble ok : iptables -t filter -A INPUT -p tcp --source 'adresse_ip' -j ACCEPT > Pour savoir quels paquets nécessaires sont bloqués, tu peux ajouter > une règle avec LOG en fin de chaîne et regarder dans les logs du > noyau : > > iptables -t filter -A INPUT -j LOG Ben oui, mais non ;-) Je retrouve mon problème de shorewall où ça bloque sur le LOG !!! David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
