firewall à base d'iptables au démarrage (/etc/init.d/)

Le
Dominique Asselineau
Bonjour,

J'ai adapté un firewall à partir de la doc de Debian security, que
j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter au
bon moment lors du démarrage.

Au début du script il faut donc placer des lignes d'en-tête pour que
insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un
update-rc.d. Et j'ai un petit doute sur les contraintes à insérer
dans cette en-tête.

Dans la mesure où ces règles doivent protéger la machine dans le
réseau, le service réseau doit-il être opérationnel ou justement ne
doit-il pas l'être tant que ces règles ne snt pas en place ?

dom
--

LocalWords: update-rc.d snt dom

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130831202159.GA20523@telecom-paristech.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean Baptiste FAVRE
Le #25625232
Bonsoir,
Idéalement le firewall devrait être actif avant le démarrage du
réseau, pour éviter un laps de temps, si court soit-il, pendant lequel
la machine n'est pas protégée.

Personnellement, je préfère utiliser un script shell que j'appelle
dans la configuration réseau (fichier /etc/netork/interface). Par exemple:

auto eth0
iface eth0 inet static
address xxx.yyy.zzz.aaa
netmask 255.255.255.0
network xxx.yyy.zzz.0
broadcast xxx.yyy.zzz.255
gateway xxx.yyy.zzz.1
pre-up "/usr/local/sbin/firewall.sh"

De cette manière, le firewall est chargé avant que l'interface ne soit
activée et configurée.

Cordialement,
JB

Le 31/08/2013 22:21, Dominique Asselineau a écrit :
Bonjour,

J'ai adapté un firewall à partir de la doc de Debian security, que
j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter
au bon moment lors du démarrage.

Au début du script il faut donc placer des lignes d'en-tête pour
que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un
update-rc.d. Et j'ai un petit doute sur les contraintes à insérer
dans cette en-tête.

Dans la mesure où ces règles doivent protéger la machine dans le
réseau, le service réseau doit-il être opérationnel ou justement
ne doit-il pas l'être tant que ces règles ne snt pas en place ?

dom




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Gaëtan PERRIER
Le #25625672
Bonsoir,

C'est possible quand on est sur un réseau statique mais avec une réseau
en dhcp ça ne me semble pas possible, non ?

Gaëtan

Le Sat, 31 Aug 2013 22:38:52 +0200
Jean Baptiste FAVRE
Bonsoir,
Idéalement le firewall devrait être actif avant le démarrage du
réseau, pour éviter un laps de temps, si court soit-il, pendant lequel
la machine n'est pas protégée.

Personnellement, je préfère utiliser un script shell que j'appelle
dans la configuration réseau (fichier /etc/netork/interface). Par
exemple:

auto eth0
iface eth0 inet static
address xxx.yyy.zzz.aaa
netmask 255.255.255.0
network xxx.yyy.zzz.0
broadcast xxx.yyy.zzz.255
gateway xxx.yyy.zzz.1
pre-up "/usr/local/sbin/firewall.sh"

De cette manière, le firewall est chargé avant que l'interface ne soit
activée et configurée.

Cordialement,
JB

Le 31/08/2013 22:21, Dominique Asselineau a écrit :
> Bonjour,
>
> J'ai adapté un firewall à partir de la doc de Debian security, que
> j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécut er
> au bon moment lors du démarrage.
>
> Au début du script il faut donc placer des lignes d'en-tête pour
> que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un
> update-rc.d. Et j'ai un petit doute sur les contraintes à insérer
> dans cette en-tête.
>
> Dans la mesure où ces règles doivent protéger la machine dans le
> réseau, le service réseau doit-il être opérationnel ou justement
> ne doit-il pas l'être tant que ces règles ne snt pas en place ?
>
> dom
>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe" vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/




--
Gaëtan PERRIER
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25625762
--e89a8f3ba7e143ca8304e54b9bd6
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
Dans ce cas je pense que tu peux mettre ton script dans le répertoire
/etc/network/if-up.d .Ainsi le script est executé lors de l'initialisatio n
des interfaces réseaux du système.
Le 1 sept. 2013 01:18, "Gaëtan PERRIER"
Bonsoir,

C'est possible quand on est sur un réseau statique mais avec une rése au
en dhcp ça ne me semble pas possible, non ?

Gaëtan

Le Sat, 31 Aug 2013 22:38:52 +0200
Jean Baptiste FAVRE
> Bonsoir,
> Idéalement le firewall devrait être actif avant le démarrage du
> réseau, pour éviter un laps de temps, si court soit-il, pendant leq uel
> la machine n'est pas protégée.
>
> Personnellement, je préfère utiliser un script shell que j'appelle
> dans la configuration réseau (fichier /etc/netork/interface). Par
> exemple:
>
> auto eth0
> iface eth0 inet static
> address xxx.yyy.zzz.aaa
> netmask 255.255.255.0
> network xxx.yyy.zzz.0
> broadcast xxx.yyy.zzz.255
> gateway xxx.yyy.zzz.1
> pre-up "/usr/local/sbin/firewall.sh"
>
> De cette manière, le firewall est chargé avant que l'interface ne s oit
> activée et configurée.
>
> Cordialement,
> JB
>
> Le 31/08/2013 22:21, Dominique Asselineau a écrit :
> > Bonjour,
> >
> > J'ai adapté un firewall à partir de la doc de Debian security, qu e
> > j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exéc uter
> > au bon moment lors du démarrage.
> >
> > Au début du script il faut donc placer des lignes d'en-tête pour
> > que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un
> > update-rc.d. Et j'ai un petit doute sur les contraintes à insére r
> > dans cette en-tête.
> >
> > Dans la mesure où ces règles doivent protéger la machine dans l e
> > réseau, le service réseau doit-il être opérationnel ou justem ent
> > ne doit-il pas l'être tant que ces règles ne snt pas en place ?
> >
> > dom
> >
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet
> "unsubscribe" vers
> En cas de soucis, contactez EN ANGLAIS
> Archive: http://lists.debian.org/


--
Gaëtan PERRIER
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/





--e89a8f3ba7e143ca8304e54b9bd6
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">Bonjour,<br>
Dans ce cas je pense que tu peux mettre ton script dans le répertoire /et c/network/if-up.d .Ainsi le script est executé lors de l&#39;initialisati on des interfaces réseaux du système. </p>
Bonsoir,<br>
<br>
C&#39;est possible quand on est sur un réseau statique mais avec une ré seau<br>
en dhcp ça ne me semble pas possible, non ?<br>
<br>
Gaëtan<br>
<br>
Le Sat, 31 Aug 2013 22:38:52 +0200<br>
Jean Baptiste FAVRE &lt; <br>
&gt; Bonsoir,<br>
&gt; Idéalement le firewall devrait être actif avant le démarrage du< br>
&gt; réseau, pour éviter un laps de temps, si court soit-il, pendant le quel<br>
&gt; la machine n&#39;est pas protégée.<br>
&gt;<br>
&gt; Personnellement, je préfère utiliser un script shell que j&#39;app elle<br>
&gt; dans la configuration réseau (fichier /etc/netork/interface). Par<br >
&gt; exemple:<br>
&gt;<br>
&gt; auto eth0<br>
&gt; iface eth0 inet static<br>
&gt;         address xxx.yyy.zzz.aaa<br>
&gt;         netmask 255.255.255.0<br>
&gt;         network xxx.yyy.zzz.0<br>
&gt;         broadcast xxx.yyy.zzz.255<br>
&gt;         gateway xxx.yyy.zzz.1<br>
&gt;       pre-up &quot;/usr/local/sbin/firewall.sh&quot;<br>
&gt;<br>
&gt; De cette manière, le firewall est chargé avant que l&#39;interface ne soit<br>
&gt; activée et configurée.<br>
&gt;<br>
&gt; Cordialement,<br>
&gt; JB<br>
&gt;<br>
&gt; Le 31/08/2013 22:21, Dominique Asselineau a écrit :<br>
&gt; &gt; Bonjour,<br>
&gt; &gt;<br>
&gt; &gt; J&#39;ai adapté un firewall à partir de la doc de Debian secu rity, que<br>
&gt; &gt; j&#39;ai placé dans /etc/init.d/ et j&#39;aurais souhaité le faire exécuter<br>
&gt; &gt; au bon moment lors du démarrage.<br>
&gt; &gt;<br>
&gt; &gt; Au début du script il faut donc placer des lignes d&#39;en-tê te pour<br>
&gt; &gt; que insserv l&#39;insère au bon endroit dans les /etc/rc?.d/ lo rs d&#39;un<br>
&gt; &gt; update-rc.d.  Et j&#39;ai un petit doute sur les contraintes à insérer<br>
&gt; &gt; dans cette en-tête.<br>
&gt; &gt;<br>
&gt; &gt; Dans la mesure où ces règles doivent protéger la machine da ns le<br>
&gt; &gt; réseau, le service réseau doit-il être opérationnel ou ju stement<br>
&gt; &gt; ne doit-il pas l&#39;être tant que ces règles ne snt pas en p lace ?<br>
&gt; &gt;<br>
&gt; &gt; dom<br>
&gt; &gt;<br>
&gt;<br>
&gt; --<br>
&gt; Lisez la FAQ de la liste avant de poser une question :<br>
&gt; &gt;<br>
&gt; Pour vous DESABONNER, envoyez un message avec comme objet<br>
&gt; &quot;unsubscribe&quot; vers &gt; En cas de soucis, contactez EN ANGLAIS &gt; Archive: <br>
<br>
--<br>
Gaëtan PERRIER &lt; <br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--e89a8f3ba7e143ca8304e54b9bd6--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fra-duf-no-spam
Le #25625942
Le 15949ième jour après Epoch,
Gaëtan PERRIER écrivait:

Bonsoir,

C'est possible quand on est sur un réseau statique mais avec une r éseau
en dhcp ça ne me semble pas possible, non ?



Idem qu'en statique, sauf que la ligne de l'interface est du style

auto eth0
iface eth0 inet dhcp
pre-up "/usr/local/sbin/firewall.sh"





Et sinon, il y a comme répondu déjà le répertoire if-up .d dans
/etc/network/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean Baptiste FAVRE
Le #25626092
Bonjour,

Là encore, je pense que if-pre-up.d serait plus indiqué.

De cette manière, le firewall est appliqué avant l'activation de
l'interface :)

Cordialement,
JB

Le 01/09/2013 10:00, François TOURDE a écrit :
Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait:

Bonsoir,

C'est possible quand on est sur un réseau statique mais avec une
réseau en dhcp ça ne me semble pas possible, non ?



Idem qu'en statique, sauf que la ligne de l'interface est du style

auto eth0 iface eth0 inet dhcp pre-up
"/usr/local/sbin/firewall.sh"





Et sinon, il y a comme répondu déjà le répertoire if-up.d dans
/etc/network/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Dominique Asselineau
Le #25626152
François TOURDE wrote on Sun, Sep 01, 2013 at 10:00:55AM +0200
Le 15949ième jour après Epoch,
Gaëtan PERRIER écrivait:

> Bonsoir,
>
> C'est possible quand on est sur un réseau statique mais avec une réseau
> en dhcp ça ne me semble pas possible, non ?

Idem qu'en statique, sauf que la ligne de l'interface est du style

>> auto eth0
>> iface eth0 inet dhcp
>> pre-up "/usr/local/sbin/firewall.sh"

Et sinon, il y a comme répondu déjà le répertoire if-up.d dans
/etc/network/



Désolé, j'ai oublié de préciser qu'il s'agissait d'un VPS qui a donc
une IP statique.

À propos du rép. /etc/network/if-up-d/, le rép.
/etc/network/if-pre-up-d/ ne serait-il pas plus approprié ?

Comme il s'agit d'un VPS sur lequel j'ai plusieurs services (Apache2,
MySQL uniquement en accès local, SMTP), la solution /ec/rc?.d/ ne
serait-elle pas plus adaptée/précise ? En forçant l'exécution des
règles iptables, avant le démarrage du réseau à l'aide des dépendances
gérées par insserv.

dom

--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
daniel huhardeaux
Le #25626492
Bonjour,*

*Le 01/09/2013 10:00, François TOURDE a écrit :
Le 15949ième jour après Epoch,
Gaëtan PERRIER écrivait:

Bonsoir,

C'est possible quand on est sur un réseau statique mais avec une réseau
en dhcp ça ne me semble pas possible, non ?


Idem qu'en statique, sauf que la ligne de l'interface est du style

auto eth0
iface eth0 inet dhcp
pre-up "/usr/local/sbin/firewall.sh"




Et sinon, il y a comme répondu déjà le répertoire if-up.d dans
/etc/network/



Saulf que en pre-up et dhcp, si les règles sont basées sur l IP
publique, celle ci n'est pas encore connue, il faut donc le faire en 2
temps: pre-up protège l'interface, post-up pour les règles liées à
l'adresse IP
--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Gaëtan PERRIER
Le #25626592
Le Sun, 01 Sep 2013 13:48:51 +0200
daniel huhardeaux
Bonjour,*

*Le 01/09/2013 10:00, François TOURDE a écrit :
> Le 15949ième jour après Epoch,
> Gaëtan PERRIER écrivait:
>
>> Bonsoir,
>>
>> C'est possible quand on est sur un réseau statique mais avec une
>> réseau en dhcp ça ne me semble pas possible, non ?
> Idem qu'en statique, sauf que la ligne de l'interface est du style
>
>>> auto eth0
>>> iface eth0 inet dhcp
>>> pre-up "/usr/local/sbin/firewall.sh"
> Et sinon, il y a comme répondu déjà le répertoire if-up.d dans
> /etc/network/

Saulf que en pre-up et dhcp, si les règles sont basées sur l IP
publique, celle ci n'est pas encore connue, il faut donc le faire en
2 temps: pre-up protège l'interface, post-up pour les règles liées à
l'adresse IP



Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue
il est difficile de créer une règle iptable dessus ...
Et maintenant comment faites-vous avec une machine qui bouge beaucoup
comme un portable avec network-manager ? J'utilise le dispatcher avec
des règles sur up et dhcp4-change mais du coup ça n'intervient qu'apr ès
que l'interface soit active.

Gaëtan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #25627812
Gaëtan PERRIER a écrit :
Le Sun, 01 Sep 2013 13:48:51 +0200
daniel huhardeaux
Saulf que en pre-up et dhcp, si les règles sont basées sur l IP
publique, celle ci n'est pas encore connue, il faut donc le faire en
2 temps: pre-up protège l'interface, post-up pour les règles liées à
l'adresse IP



Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue
il est difficile de créer une règle iptable dessus ...
Et maintenant comment faites-vous avec une machine qui bouge beaucoup
comme un portable avec network-manager ? J'utilise le dispatcher avec
des règles sur up et dhcp4-change mais du coup ça n'intervient qu'après
que l'interface soit active.



En deux temps, on t'a dit.
Avant le démarrage du réseau : on bloque tout.
Avant ou après l'activation d'une interface, peu importe : on ajoute les
règles liées à l'interface en question (qu'on n'oublie pas de supprimer
à sa désactivation n'est-ce pas).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme