J'ai refait un pare-feu allege pour une machine connecte a internet.
Il est tres simple: tout peut sortir, ce qui entre ne peut etre qu'une
reponse a une requete interne.
ca donne ca:
# vidage des regles:
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
# politque par defaut
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# ce qui est autorise
$IPTABLES -A OUTPUT -o eth0 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#tout ce qui est local est accepte
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# on logue le reste
$IPTABLES -A INPUT -j LOG --log-prefix "IPTABLES non catches: "
$IPTABLES -A INPUT -j DROP # juste pour etre "propre"
Mais voila, quand je fais un :
ssh mamachine
ca marche, sachant que mamachine est associee a l'IP de eth0 (dans
/etc/hosts).
En reduisant les regles, il semble que ce sont les regles liees a lo qui
laissent passer. Pq?
Hostname donne mamachine, ca vient de ca?
J'ai essaye en changeant le hostname, mais c'est pareil, idem en
ajoutant un nouveau nom a l'ip eth0.
Est-ce que c'est normal? Je ne crois pas, et il me semble que ca
fonctionnait pas y'a qqs jours.
A priori, le reste du trafic ne passe pas, mais ce genre de constats me
fait un peu douter.
Est-ce que je suis trop parano, ou c'est pas normal?
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface Non, pas toujours.
Un peu plus de precisions, SVP?
Bah par exemple si il n'est pas marqué comme activé automatiquement au démarrage dans /etc/network/interfaces (sous Debian), je crois qu'il n'est pas présent (ou du moins ça casse pas mal de choses - d'expérience, tous les programmes faisant appel à des sockets plantaient lamentablement).
Notez que je peux dire des bêtises, c'est juste une déduction empirique à partir d'un problème que j'avais mis une après-midi à résoudre mais dont les détails m'échappent un peu.
-- Gabriel Kerneis
On 2005-04-29, TiChou <gro.uohcit@uohcit> wrote:
le lo est une interface reseau virtuelle toujours presente meme quand
il n'y a aucune interface
Non, pas toujours.
Un peu plus de precisions, SVP?
Bah par exemple si il n'est pas marqué comme activé automatiquement au
démarrage dans /etc/network/interfaces (sous Debian), je crois qu'il
n'est pas présent (ou du moins ça casse pas mal de choses -
d'expérience, tous les programmes faisant appel à des sockets plantaient
lamentablement).
Notez que je peux dire des bêtises, c'est juste une déduction empirique
à partir d'un problème que j'avais mis une après-midi à résoudre mais
dont les détails m'échappent un peu.
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface Non, pas toujours.
Un peu plus de precisions, SVP?
Bah par exemple si il n'est pas marqué comme activé automatiquement au démarrage dans /etc/network/interfaces (sous Debian), je crois qu'il n'est pas présent (ou du moins ça casse pas mal de choses - d'expérience, tous les programmes faisant appel à des sockets plantaient lamentablement).
Notez que je peux dire des bêtises, c'est juste une déduction empirique à partir d'un problème que j'avais mis une après-midi à résoudre mais dont les détails m'échappent un peu.
-- Gabriel Kerneis
TiChou
Dans le message <news:, *Kevin Denis* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
-- TiChou
Dans le message <news:slrnd7bhdt.15i.kevin@slackwall.local.tux>,
*Kevin Denis* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand
il n'y a aucune interface
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un
routeur) et donc où elle n'est pas montée.
Dans le message <news:, *Kevin Denis* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
-- TiChou
Pascal
Salut,
*Kevin Denis* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface
Pas très cohérent : si lo est présente on ne peut pas dire qu'il n'y a aucune interface puisque lo est une interface. ;-)
Pour ma part je ne fais aucune distinction entre les interfaces réseau "physiques" et "virtuelles", car vu du système il n'y a pas de différence. Dans les deux cas ça sert à envoyer et recevoir des paquets.
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ? A moins qu'il y ait une option de compilation pour la faire disparaître complètement ?
-- Pascal Les changements du patch-o-matic-ng Netfilter au jour le jour : http://www.plouf.fr.eu.org/bazar/netfilter/pom/pom-ng-change-parsed.txt
Salut,
*Kevin Denis* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand
il n'y a aucune interface
Pas très cohérent : si lo est présente on ne peut pas dire qu'il n'y a
aucune interface puisque lo est une interface. ;-)
Pour ma part je ne fais aucune distinction entre les interfaces réseau
"physiques" et "virtuelles", car vu du système il n'y a pas de
différence. Dans les deux cas ça sert à envoyer et recevoir des paquets.
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple
un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ? A moins qu'il y
ait une option de compilation pour la faire disparaître complètement ?
--
Pascal
Les changements du patch-o-matic-ng Netfilter au jour le jour :
http://www.plouf.fr.eu.org/bazar/netfilter/pom/pom-ng-change-parsed.txt
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface
Pas très cohérent : si lo est présente on ne peut pas dire qu'il n'y a aucune interface puisque lo est une interface. ;-)
Pour ma part je ne fais aucune distinction entre les interfaces réseau "physiques" et "virtuelles", car vu du système il n'y a pas de différence. Dans les deux cas ça sert à envoyer et recevoir des paquets.
Non, pas toujours.
Un peu plus de precisions, SVP?
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ? A moins qu'il y ait une option de compilation pour la faire disparaître complètement ?
-- Pascal Les changements du patch-o-matic-ng Netfilter au jour le jour : http://www.plouf.fr.eu.org/bazar/netfilter/pom/pom-ng-change-parsed.txt
TiChou
Dans le message <news:d57ojr$2n5b$, ** tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface Non, pas toujours.
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface looback n'est pas montée, elle n'apportte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
A moins qu'il y ait une option de compilation pour la faire disparaître complètement ?
Non.
Enfin si, CONFIG_NET=n, mais bon... :-P
-- TiChou
Dans le message <news:d57ojr$2n5b$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand
il n'y a aucune interface
Non, pas toujours.
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple
un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface looback n'est pas
montée, elle n'apportte rien de plus ou ne modifie rien au fonctionnement du
système que si elle n'existait pas du tout, non ?
A moins qu'il y ait une option de compilation pour la faire disparaître
complètement ?
Dans le message <news:d57ojr$2n5b$, ** tapota sur f.c.o.l.configuration :
le lo est une interface reseau virtuelle toujours presente meme quand il n'y a aucune interface Non, pas toujours.
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface looback n'est pas montée, elle n'apportte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
A moins qu'il y ait une option de compilation pour la faire disparaître complètement ?
Non.
Enfin si, CONFIG_NET=n, mais bon... :-P
-- TiChou
Pascal
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est pas montée, elle n'apporte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa configuration... donc oui ça change quelque chose. :-p Noooon, pas sur la tête !
Il y a des systèmes où l'interface loopback n'est pas utile (par
exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est
pas montée, elle n'apporte rien de plus ou ne modifie rien au
fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa
configuration... donc oui ça change quelque chose. :-p
Noooon, pas sur la tête !
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est pas montée, elle n'apporte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa configuration... donc oui ça change quelque chose. :-p Noooon, pas sur la tête !
TiChou
Dans le message <news:d58upi$7m4$, ** tapota sur f.c.o.l.configuration :
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est pas montée, elle n'apporte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa configuration... donc oui ça change quelque chose. :-p Noooon, pas sur la tête !
;-)
-- TiChou
Dans le message <news:d58upi$7m4$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
Il y a des systèmes où l'interface loopback n'est pas utile (par
exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est
pas montée, elle n'apporte rien de plus ou ne modifie rien au
fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa
configuration... donc oui ça change quelque chose. :-p
Noooon, pas sur la tête !
Dans le message <news:d58upi$7m4$, ** tapota sur f.c.o.l.configuration :
Il y a des systèmes où l'interface loopback n'est pas utile (par exemple un routeur) et donc où elle n'est pas montée.
Pas montée (désactivée) mais quand même présente, non ?
Oui, mais cela change-t-il quelque chose ? Si l'interface loopback n'est pas montée, elle n'apporte rien de plus ou ne modifie rien au fonctionnement du système que si elle n'existait pas du tout, non ?
Si elle existe, on peut la lister, l'activer, la configurer, afficher sa configuration... donc oui ça change quelque chose. :-p Noooon, pas sur la tête !
