[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Re: Ipchains incompatible Mandrake 8.0



>
> ok, je suis d'accord sur le fait que tu laisseras un «trou de sécurité»
> pendant environ quelques minuscules secondes (puisque c'est la machine
> qui exécute elle-meme ce script juste après, ca devrait pas prendre bcp
> plus lgtmps que ca),

ben ça dépend, pour un simple iptable -L (ou ipchains -L) ça peut prendre 
quelques minutes (rare), ça m'est déjà arrivé et quand tu es en train de 
configurer ton fw c'est plutôt rageant. La première fois j'ai cru qu'il y 
avait un plantage, c'est dire! Pourtant il n'y a pas tellement de règles, la 
machine est un P133 64Mb et elle n'est pas trop chargée.

> seulement comment tu fais si tu as des règles vers
> des adresses dynamiques puisque iptables/chains font un gethostbyname
> pour mettre la règle sur l'ip (je penses pas dire de conneries la, mais
> sait-on jamais). Tu vas t'amuser à mettre des règles au boot et puis
> lors de la connection (qui, rappelons-le, se fait lors du boot, a la
> fin d'accord, mais lors du boot qd meme) les flusher et remettre des
> nouvelles ?
> Car tu es obligé de les flusher puisque tu dois d'abord mettre les
> regles que tu acceptes, puis celles que tu refuses (dans le sens,
> j'autorise le telnet de telle ip, puis je refuse le telnet).
>

dans le how-to de iptable (désolé, je ne sais plus où le trouver), l'auteur 
explique comment faire. Si je me souviens bien, il commence par tout bloquer 
le temps que les autres règles passent, puis il enlève cette règle (il y a 
moyen d'en enlever une sans devoir tout benner).
Autre-chose, pendant tout un temps les connexions chez skynet avec l'adsl, 
c'était pas top (il y a quelques mois de ça). Alors je lancais les scripts à 
la main (je le fais toujours, trop feignant pour automatiser ;) ). Cette 
machine est tout le temps connectée depuis 10 mois, je l'ai éteinte 3 ou 4x 
(quand il y a des gros orages, je ne suis pas protégé). Hé, c'est pas la mort 
(startfw.sh;adsl-start). Par contre je n'autorise aucun telnet, seulement ssh 
(mais c'est un autre débat).

> @+,
> binny
>
> ps: tu changes une ampoule comment toi ? ;)
 Houlà, trop compliqué par écrit;)
 j'aurais bien mis des petits dessins, mais si ça passe 2x, je vais me faire  
 flamer (grrr rancunier).
-- 

@+ Thomas


[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]