David BERCOT a écrit :
Pascal Hambourg <pascal.m...@plouf.fr.eu.org> a écrit :
David BERCOT a écrit :
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
L'option -s est trop restrictive, les paquets émis sur l'interface de
loopback peuvent avoir n'importe quelle adresse source locale. Cela
inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur
les interfaces de la machine.
En clair, je te conseille fortement de supprimer l'option -s dans cette
règle. Quel bénéfice en terme de sécurité apporte-t-elle ?
Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous
cas)...
Tu peux penser ce que tu veux, ou bien vérifier avec cette commande qui
affichera toutes les destinations locales à la machine (installer le
paquet iproute si nécessaire) :
ip route list type local table local
C'est censé marcher comment au niveau réseau, sslh ?
On arrive sur un port spécifique, et, ensuite, en fonction de ce qui
arrive, on est redirigé vers le bon service sur un autre port.
Redirigé comment ? En établissant une seconde connexion locale ? Avec
quelles adresses source et destination ?
Je me demande si je ne pourrais pas faire un mix des règles
précédentes, du genre :
iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j
ACCEPT
Cette règle est plus restrictive que celle-ci dessus, donc bof.
Pour savoir quels paquets nécessaires sont bloqués, tu peux ajouter une
règle avec LOG en fin de chaîne et regarder dans les logs du noyau :
iptables -t filter -A INPUT -j LOG
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
