Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up /usr/local/sbin/firewall.sh Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87ppst9djc@tourde.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour, Là encore, je pense que if-pre-up.d serait plus indiqué. De cette manière, le firewall est appliqué avant l'activation de l'interface :) Cordialement, JB Le 01/09/2013 10:00, François TOURDE a écrit : Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up /usr/local/sbin/firewall.sh Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/52230212.1030...@jbfavre.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
François TOURDE wrote on Sun, Sep 01, 2013 at 10:00:55AM +0200 Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up /usr/local/sbin/firewall.sh Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ Désolé, j'ai oublié de préciser qu'il s'agissait d'un VPS qui a donc une IP statique. À propos du rép. /etc/network/if-up-d/, le rép. /etc/network/if-pre-up-d/ ne serait-il pas plus approprié ? Comme il s'agit d'un VPS sur lequel j'ai plusieurs services (Apache2, MySQL uniquement en accès local, SMTP), la solution /ec/rc?.d/ ne serait-elle pas plus adaptée/précise ? En forçant l'exécution des règles iptables, avant le démarrage du réseau à l'aide des dépendances gérées par insserv. dom -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901091045.ga32...@telecom-paristech.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour,* *Le 01/09/2013 10:00, François TOURDE a écrit : Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up /usr/local/sbin/firewall.sh Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ Saulf que en pre-up et dhcp, si les règles sont basées sur l IP publique, celle ci n'est pas encore connue, il faut donc le faire en 2 temps: pre-up protège l'interface, post-up pour les règles liées à l'adresse IP -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/522329a3.3080...@tootai.net
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Le Sun, 01 Sep 2013 13:48:51 +0200 daniel huhardeaux no-s...@tootai.net a écrit: Bonjour,* *Le 01/09/2013 10:00, François TOURDE a écrit : Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up /usr/local/sbin/firewall.sh Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ Saulf que en pre-up et dhcp, si les règles sont basées sur l IP publique, celle ci n'est pas encore connue, il faut donc le faire en 2 temps: pre-up protège l'interface, post-up pour les règles liées à l'adresse IP Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue il est difficile de créer une règle iptable dessus ... Et maintenant comment faites-vous avec une machine qui bouge beaucoup comme un portable avec network-manager ? J'utilise le dispatcher avec des règles sur up et dhcp4-change mais du coup ça n'intervient qu'après que l'interface soit active. Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901145930.dd32a0dfdd69618d6bae5...@neuf.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Gaëtan PERRIER a écrit : Le Sun, 01 Sep 2013 13:48:51 +0200 daniel huhardeaux no-s...@tootai.net a écrit: Saulf que en pre-up et dhcp, si les règles sont basées sur l IP publique, celle ci n'est pas encore connue, il faut donc le faire en 2 temps: pre-up protège l'interface, post-up pour les règles liées à l'adresse IP Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue il est difficile de créer une règle iptable dessus ... Et maintenant comment faites-vous avec une machine qui bouge beaucoup comme un portable avec network-manager ? J'utilise le dispatcher avec des règles sur up et dhcp4-change mais du coup ça n'intervient qu'après que l'interface soit active. En deux temps, on t'a dit. Avant le démarrage du réseau : on bloque tout. Avant ou après l'activation d'une interface, peu importe : on ajoute les règles liées à l'interface en question (qu'on n'oublie pas de supprimer à sa désactivation n'est-ce pas). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5223c003.7090...@plouf.fr.eu.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonsoir, Idéalement le firewall devrait être actif avant le démarrage du réseau, pour éviter un laps de temps, si court soit-il, pendant lequel la machine n'est pas protégée. Personnellement, je préfère utiliser un script shell que j'appelle dans la configuration réseau (fichier /etc/netork/interface). Par exemple: auto eth0 iface eth0 inet static address xxx.yyy.zzz.aaa netmask 255.255.255.0 network xxx.yyy.zzz.0 broadcast xxx.yyy.zzz.255 gateway xxx.yyy.zzz.1 pre-up /usr/local/sbin/firewall.sh De cette manière, le firewall est chargé avant que l'interface ne soit activée et configurée. Cordialement, JB Le 31/08/2013 22:21, Dominique Asselineau a écrit : Bonjour, J'ai adapté un firewall à partir de la doc de Debian security, que j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter au bon moment lors du démarrage. Au début du script il faut donc placer des lignes d'en-tête pour que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un update-rc.d. Et j'ai un petit doute sur les contraintes à insérer dans cette en-tête. Dans la mesure où ces règles doivent protéger la machine dans le réseau, le service réseau doit-il être opérationnel ou justement ne doit-il pas l'être tant que ces règles ne snt pas en place ? dom -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Gaëtan Le Sat, 31 Aug 2013 22:38:52 +0200 Jean Baptiste FAVRE debian...@jbfavre.org a écrit: Bonsoir, Idéalement le firewall devrait être actif avant le démarrage du réseau, pour éviter un laps de temps, si court soit-il, pendant lequel la machine n'est pas protégée. Personnellement, je préfère utiliser un script shell que j'appelle dans la configuration réseau (fichier /etc/netork/interface). Par exemple: auto eth0 iface eth0 inet static address xxx.yyy.zzz.aaa netmask 255.255.255.0 network xxx.yyy.zzz.0 broadcast xxx.yyy.zzz.255 gateway xxx.yyy.zzz.1 pre-up /usr/local/sbin/firewall.sh De cette manière, le firewall est chargé avant que l'interface ne soit activée et configurée. Cordialement, JB Le 31/08/2013 22:21, Dominique Asselineau a écrit : Bonjour, J'ai adapté un firewall à partir de la doc de Debian security, que j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter au bon moment lors du démarrage. Au début du script il faut donc placer des lignes d'en-tête pour que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un update-rc.d. Et j'ai un petit doute sur les contraintes à insérer dans cette en-tête. Dans la mesure où ces règles doivent protéger la machine dans le réseau, le service réseau doit-il être opérationnel ou justement ne doit-il pas l'être tant que ces règles ne snt pas en place ? dom -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org -- Gaëtan PERRIER gaetan.perr...@neuf.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901011838.434f3ddc55f0d2e82fd82...@neuf.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour, Dans ce cas je pense que tu peux mettre ton script dans le répertoire /etc/network/if-up.d .Ainsi le script est executé lors de l'initialisation des interfaces réseaux du système. Le 1 sept. 2013 01:18, Gaëtan PERRIER gaetan.perr...@neuf.fr a écrit : Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Gaëtan Le Sat, 31 Aug 2013 22:38:52 +0200 Jean Baptiste FAVRE debian...@jbfavre.org a écrit: Bonsoir, Idéalement le firewall devrait être actif avant le démarrage du réseau, pour éviter un laps de temps, si court soit-il, pendant lequel la machine n'est pas protégée. Personnellement, je préfère utiliser un script shell que j'appelle dans la configuration réseau (fichier /etc/netork/interface). Par exemple: auto eth0 iface eth0 inet static address xxx.yyy.zzz.aaa netmask 255.255.255.0 network xxx.yyy.zzz.0 broadcast xxx.yyy.zzz.255 gateway xxx.yyy.zzz.1 pre-up /usr/local/sbin/firewall.sh De cette manière, le firewall est chargé avant que l'interface ne soit activée et configurée. Cordialement, JB Le 31/08/2013 22:21, Dominique Asselineau a écrit : Bonjour, J'ai adapté un firewall à partir de la doc de Debian security, que j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter au bon moment lors du démarrage. Au début du script il faut donc placer des lignes d'en-tête pour que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un update-rc.d. Et j'ai un petit doute sur les contraintes à insérer dans cette en-tête. Dans la mesure où ces règles doivent protéger la machine dans le réseau, le service réseau doit-il être opérationnel ou justement ne doit-il pas l'être tant que ces règles ne snt pas en place ? dom -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org -- Gaëtan PERRIER gaetan.perr...@neuf.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901011838.434f3ddc55f0d2e82fd82...@neuf.fr