On Fri, 14 Sep 2001, Cédric Rochat wrote:
> Quels seraient les moyens d'empêcher que des daemons lancent des connexions à
> tout bout de champs, pour des requêtes DNS, et autres ? J'ai pensé à des
> bloquages Netfilter, ou à jouer avec la route par défaut, mais il doit y
> avoir des méthodes plus propres...
En plus de ce qui a été dit, on peut aussi simplifier la configuration: ne
plus avoir de DNS externe du tout, ne plus autoriser autre chose que le
POP sur le serveur, prendre le courrier avec fetchmail sur une adresse IP
et le délivrer en smart-host sur le serveur SMTP en adresse IP du
fournisseur, et ne laisser passer que le FTP et le HTTP via proxy Squid,
que l'on configure pour, lui seul, avoir les DNS.
Donc, sans routage ni masquerading/NAT.
Ainsi, les seules actions qui peuvent ouvrir la liaison:
sendmail -q
accès FTP ou HTTP via Squid non dans le cache
cron pour prise du courrier p.ex. fetchmail.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
