Bonjour, Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)
Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit : > >> > >> *filter > >> > >> :INPUT ACCEPT [0:0] > > > > La politique par défaut devrait être DROP. > > alors là ya un truc que je ne pige pas: > si c'est à DROP tout ce qui rentre va être droppé non ? La politique par _defaut_ s'applique en fin de chaîne aux paquets restants (comprendre qui n'auront pas été acceptés par une règle). > Dans quel ordre iptables lit il les règles ? Dans l'ordre ou elles apparaissent dans les tables. Chaque ajout (-A) à lieu à la suite des règles existantes, d'où la remarque de Pascal (plus loin dans le même message) de placer les règles concernant les paquets ESTABLISHED/RELATED en début de table, pour éviter que ces paquets ne doivent tout d'abord passer par les autres règles. > >> ## Allow previously established connections > >> -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > > > Cette règle devrait se trouver en début de chaîne car c'est elle qui > > traite normalement le plus de paquets. Plus globalement, une politique de DROP par défaut me paraît beaucoup plus sûre; si on oublie d'ouvrir un port ça se remarque généralement assez rapidement, ce qui n'est pas forcément le cas de ceux que l'on oublie de fermer. De plus AMA c'est plus facile à lire et à comprendre, on n'a que des règles ACCEPT au lieu d'un mélange de règles ACCEPT (pour récupérer les paquets sans traverser toute la chaîne) et de règles DROP dans le cas d'une politique par défaut en ACCEPT. mes 2cts. -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201009110021.43607.debse...@free.fr