On Thu, 14 Jun 2001, hatim wrote:
> et 1.5.6.7 a acceder au port 22 , je souhaiterai autoriser tous les gens
> dont la resolution de noms de leur ip est du genre *.mondomaine.org
Intéressant. Donc, le kernel, à chaque paquet traversant le firewall, va
devoir faire une requête DNS ? Bien sûr qu'il pourrait cacher les
résultats, mais je trouve quand même que c'est un peu lourd pour quelque
chose qui doit pouvoir traiter des mégapaquets/seconde, tout en gardant la
généralité (si *.mondomaine.org est statique, c'est trivial: faire un
script d'insertion de toutes les adresses).
Il existe cependant une solution, antérieure au firewalling, d'ailleurs:
les tcp wrappers. On peut configurer un certain nombres de services pour
utiliser les tcp wrappers: notamment tous les services TCP (== stream)
d'inetd, ainsi que certains programmes comme sshd.
Extrait de man sshd (OpenSSH):
/etc/hosts.allow, /etc/hosts.deny
If compiled with LIBWRAP support, tcp-wrappers access controls
may be defined here as described in hosts_access(5).
cf le man 5 hosts_access (depuis KDE: ALT-F2, puis man:hosts_access(5)).
(en théorie cela fonctionne aussi avec des adresses textuelles, même si je
n'ai pas vérifié cela).
PS: utiliser des noms au lieu d'adresses IP rend possibles des attaques de
type `DNS spoofing', `DNS cache poisonning' -- déconseillé.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
